Quels sont les registres RGPD obligatoires à tenir pour les experts-comptables dans leur mise en conformité au RGPD ?

Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformité, tels que le registre des traitements, le registre des violations de données et le registre des sous-traitants. Ces registres permettent de documenter les données personnelles traitées, les finalités du traitement, les mesures de sécurité et les informations sur les sous-traitants impliqués dans le traitement de ces données. Pour les aider dans leur mise en conformité au RGPD, les experts-comptables peuvent se référer à un guide pratique RGPD pour comprendre les exigences et les obligations en matière de protection des données.

Comment assurer la conformité RGPD dans le processus d'imputation comptable pour les experts-comptables ?

L’imputation comptable rgpd implique souvent le traitement de données personnelles sensibles, telles que des informations financières et fiscales. Pour assurer la conformité RGPD dans ce processus, les experts-comptables doivent s’assurer que les données personnelles sont traitées de manière légale, équitable et transparente, avec un fondement juridique approprié. Ils doivent également veiller à ne traiter que les données personnelles nécessaires à la finalité du traitement, à protéger ces données contre tout accès, divulgation ou perte non autorisés, et à assurer l’exactitude et la mise à jour des données personnelles traitées. Les experts-comptables doivent également informer les personnes concernées des finalités du traitement, des catégories de données personnelles traitées, des destinataires des données et de leurs droits en matière de protection des données. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de données et nommer un délégué à la protection des données, si nécessaire.

Protection des données : imputation comptable des dépenses de mise en conformité au RGPD ?

Les dépenses liées à la mise en conformité au RGPD peuvent être imputées comptablement de différentes manières, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles : Charges d’exploitation : certaines dépenses de mise en conformité peuvent être considérées comme des charges d’exploitation courantes, telles que les frais de formation des employés, les coûts de communication avec les parties prenantes et les coûts de mise à jour de la documentation juridique. Investissements : les coûts liés à la mise à niveau des systèmes informatiques et de sécurité peuvent être considérés comme des investissements à long terme, qui peuvent être amortis sur plusieurs années. Charges exceptionnelles : dans certains cas, les dépenses de mise en conformité peuvent être considérées comme des charges exceptionnelles, qui peuvent être imputées sur une période déterminée, comme un exercice comptable. Il est important de consulter un expert-comptable pour déterminer l’imputation comptable la plus appropriée pour les dépenses de mise en conformité au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales.

Conseils

Diagnostic RGPD
Analysons votre entreprise pour votre mise en conformité

Audit RGPD
Faites vérifier votre conformité RGPD

Accompagnement RGPD
Faites vous accompagner par un expert dans votre ville

PIA-AIPD
Trouvez votre co-pilote dans la réalisation des PIA

Contrôle RGPD
Contrôlez les données dans votre entreprise

E-Assistance RGPD
Contactez nos spécialistes selon vos besoins
Expertises

Conformité RGPD
Soyez conforme au RGPD selon votre secteur d’activité

DORA
La réglementation pour le secteur banque-finance

NIS 2
Suivez le changement de réglementation
Logiciel

Registre RGPD
Votre outil de pilotage de votre mise en conformité

Gestion Consentement RGPD
La gestion optimisée des consentements RGPD

Data Room RGPD
Garantissez la sécurité de vos données sensibles
Formation

Coaching DPO
Formez vous avec des experts au métier de DPO
Externalisation

DPO externe
Faites appel à un externe pour la protection de vos données

DPO en régie
Assurez votre conformité avec un de nos experts

DPO de remplacement
Remplacez rapidement votre DPO lors de son absence

DPO mutualisé
Partagez votre DPO pour limiter vos dépenses

Conformité RGPD Expert Comptable

N°1 de la conformité RGPD pour les Experts Comptable

Optez pour une solution clé en main pour votre conformité RGPD

En partenariat avec le Croec, My Data Solution a créé des offres exclusives et adaptées aux experts comptables.

Nos clients

+ de 400 clients nous ont fait confiance

Recommandations Clients

Jérôme C. Moutien

Cabinet - JCM

Richard Lin

Cabinet Global 974

L'ordre des experts comptable

rgpd ordre des experts-comptables

Le partenaire de confiance du Conseil de l’Ordre

Après 2 ans d’accompagnement auprès du Croec Réunion sur leur conformité RGPD, nous avons gagné leur confiance, ce qui nous a permis de concevoir une offre dédiée répondant spécifiquement aux besoins des cabinets comptables.

Conformité RGPD Expert Comptable

Évitez les sanctions pour vous et vos clients

En cas de non-respect du RGPD, les cabinets et leurs clients s’exposent à des sanctions de la part data controller de cabinet comptable, la CNIL, de la mise en demeure à l’amende administrative pouvant s’élever jusqu’à 4% du chiffre d’affaires annuel. A cela s’ajoute des sanctions pénales pouvant s’élever jusqu’à 5 ans d’emprisonnement et de 300 000 euros. De plus, en tant que sous-traitant vous avez des obligations et responsabilités supplémentaires à l’égard de vos clients.

Conformité RGPD Expert Comptable

Respectez votre devoir de conseil
envers vos clients

Afin de transformer une obligation réglementaire en opportunité pour votre organisation.

Créez de nouvelles opportunités

Grâce à la transparence et à votre conformité RGPD, développez et pérennisez de nouvelles relations clients et partenaires.

Consolidez une image de marque durable

Les non-conformités peuvent être rendues publiques ! Respecter le RGPD vous évitera un déficit d’image préjudiciable à votre activité.

Renforcer la confiance dans vos relations professionnelles

Une collecte de données dans le respect du RGPD garantira la confiance de vos clients et préservera le climat social de votre entreprise.

Sécurisez votre devoir de conseil en tant que sous-traitant

Votre mission vous place dans une relation de sous-traitance, qui vous impose d’apporter la preuve de votre conformité à vos clients, n’attendez pas !

Conformité RGPD Expert Comptable

Pourquoi faire appel à My Data Solution pour le conseil RGPD ?

Une expertise avérée pour une conformité RGPD garantie

Choisir My Data Solution, c’est s’appuyer sur une équipe d’experts du RGPD, une méthodologie éprouvée et des outils de pointe pour assurer une conformité optimale à la réglementation. Notre but ? Vous permettre de vous concentrer sur votre activité principale, tout en ayant la certitude que vos données sont traitées en toute légalité.

Gagnez du temps

Facilitez votre mise en conformité avec notre solution Registre

Notre logiciel permet de piloter une conformité complète de votre cabinet. Il comprend :

Le registre de vos traitements de données, 1er document de preuve de votre conformité ;
L’ensemble des modèles de documents adaptés à votre secteur d’activité pour une exploitation légale de vos données;
Un tableau de bord de suivi en temps réel pour une conformité en toute transparence.

Mise en conformité expert comptable

Des offres pensées pour les experts comptables

Afin de transformer une obligation réglementaire en opportunité pour votre cabinet.

Autonomie

Confort

Sur-mesure

Un groupe, 4 métiers, 4 marques

Découvrez l’ensemble de nos offres et savoir-faire

My Data Solution vous accompagne dans votre mise en conformité RGPD pour vous garantir efficacité et durabilité

My Data Solution offre un parcours complet pour la sensibilisation, la formation et la certification des compétences des DPD / DPO

Sensibilisation au RGPD
Formations thématiques
Formations-actions
Formations
Formation - Préparation à la certification DPD / DPO
Certification DPD / DPO
Evènement- Team Building RGPD
Coaching DPD / DPO

My Data Solution propose une suite logicielle pour aider votre DPD / DPO à piloter votre conformité RGPD et garantir la sécurité de vos données sensibles

My Data Solution vous propose, grâce à son offre d’externalisation, efficacité, souplesse, maîtrise des risques

Vos questions sur la RGPD pour le secteur des Experts Comptable

Foires aux questions RGPD Expert Comptable

Pourquoi le RGPD et depuis quand est-il applicable ?

Entre la progression accrue des usages numériques, l’explosion du Big Data et du commerce en ligne ainsi qu’une forte augmentation de la cybercriminalité, l’adoption du Règlement européen sur la protection des données personnelles, dit RGPD, était vivement nécessaire afin d’harmoniser les règlementations européennes et répondre aux attentes et exigences des communautés.

Voté en 2016 et entré en vigueur en 2018 afin de laisser le temps aux organismes de se mettre en conformité, le RGPD s’applique à tous les organismes, publics ou privés, traitant des données personnelles (telles qu’un nom, prénom, identifiant, photo, etc.), qu’il s’agisse des données client, adhérent, partenaire, fournisseur ou collaborateur.

Le RGPD met donc en place un socle commun de la protection des données personnelles avec notamment un renforcement du droit des personnes, une conformité basée sur la transparence et la responsabilisation des organismes concernés, un encadrement des transferts hors UE, des responsabilités partagées et précisées avec des sanctions encadrées, graduées et renforcées.

Les sanctions encourues en cas de non-conformité au RGPD pouvant s’élever à hauteur de 2 ou 4% du chiffre d’affaires annuel mondial de l’entreprise.

Être en conformité au RGPD est donc primordial car, au-delà d’être une obligation légale et règlementaire et de constituer un risque de sanction, le RGPD est une véritable opportunité puisqu’il permet de :

Valoriser la data en exploitant les données de manière légale et qualitative
Accroître la confiance des clients, partenaires et prospects grâce à la transparence,
Conforter et renforcer l’image de marque du cabinet,
Acquérir de nouveaux clients et de nouveaux marchés,
Remporter des appels d’offre (les acheteurs publics ont l’obligation de vérifier la conformité RGPD des soumissionnaires à appel d’offres),
Améliorer l’organisation interne et renforcer la confiance des collaborateurs de l’organisme.

Les cabinets d’expertise comptable sont-ils concernés par le RGPD ?

Tout organisme, quels que soient sa taille, son pays d’implantation et son activité, peut être concerné. En effet, le RGPD s’applique à tout organisme, public ou privé, qui traite des données personnelles pour son propre compte ou non, dès lors :

que l’organisation est établie sur le territoire de l’Union européenne,

ou que son activité cible directement des résidents européens.

Le RGPD concerne également les sous-traitants qui traitent des données personnelles pour le compte d’autres organismes. Ainsi, si vous traitez ou collectez des données pour le compte d’une autre entité (entreprise, collectivité, association), vous avez des obligations spécifiques pour garantir la protection des données qui vous sont confiées.

Les cabinets d’expertise comptable sont donc concernés par la protection des données personnelles et le RGPD à de nombreux égards. Tout d’abord, les cabinets traitent les données personnelles de leurs collaborateurs. Ensuite dans le cadre de leurs missions, les experts-comptables traitent les données personnelles de leurs clients.

Pour rappel, une donnée personnelle est une information qui concerne une personne physique, identifiée ou identifiable, de manière directe ou indirecte. Ainsi par exemple, un numéro de matricule, une adresse IP ou des informations relatives à la situation professionnelle ou familiale sont des données personnelles.

Également, la simple consultation ou conservation d’une donnée personnelle sur un document numérique ou papier est constitutif d’un traitement. Ainsi, la simple conservation de données personnelles au sein des archives papier constitue un traitement de données personnelles. De même, qu’il s’agisse de missions courtes, longues, à

Quelles sont les données personnelles traitées par les experts-comptables ?

Les experts-comptables sont amenés à collecter et traiter les données personnelles de leurs collaborateurs et de leurs clients.

S’agissant des données personnelles des clients, il peut s’agir de données concernant des dirigeants, associés et collaborateurs d’entreprises, des artisans, des commerçants ou des professionnels libéraux.

Il s’agit notamment des informations nécessaires aux déclarations fiscales (formulaire 2067-SD, imprimé fiscal unique, formulaire DAS2 avec les jetons de présence, etc.) ainsi que les données traitées par le service juridique et celles relatives au bulletin de paie (NIR…).

L’expert-comptable est-il responsable du traitement ou sous-traitant pour le compte de ses clients ?

Dans le cadre des missions réalisées par les experts comptables, cette question nécessite une analyse au cas par cas. En effet, si les cabinets sont notamment responsables des traitements qu’ils réalisent sur les données personnelles de leurs collaborateurs ; et que l’on peut considérer, dans une certaine mesure, que les cabinets seraient plutôt qualifiés de sous-traitants s’agissant des missions relatives à la paie et les missions sociales, et de responsables de traitement s’agissant des missions comptables et de secrétariat juridique. Il s’avère néanmoins hasardeux de définir des missions types pour lesquelles le data controller cabinet comptable et d’autres pour lesquelles ils seraient sous-traitants au sens du RGPD.

Pour rappel, si vous agissez en tant que sous-traitant, c’est-à-dire que vous traitez ou collectez des données pour le compte d’une autre entité (entreprise, collectivité, association), vous avez des obligations spécifiques pour garantir la protection des données qui vous sont confiées.

En vue d’identifier cette qualification entre responsable de traitement, sous-traitant ou responsable conjoint, il convient donc de se poser les trois questions principales suivantes :

Qui détermine la finalité du traitement ?
Qui dispose du contrôle sur le traitement des données personnelles ?
Qui détermine les moyens essentiels du traitement ?

Si pour chacune de ces questions, la réponse est le cabinet d’expertise comptable, alors celui-ci est responsable du traitement.

La responsabilité du cabinet et son obligation d’information diffèrent en fonction de la qualification. Le CSOEC préconise d’ailleurs à ce sujet que l’obligation d’information des personnes physiques soit assumée par le client lorsque le cabinet est co-responsable du traitement.

Quels sont les risques en cas de non-conformité au RGPD ?

Depuis le 25 mai 2018, tout organisme qui ne respecte pas ses obligations en matière de protection des données personnelles (RGPD et Loi Informatique et Libertés) s’expose à des sanctions administratives et pénales.

A l’issue de contrôle ou de plaintes, en cas de méconnaissance des dispositions du RGPD ou de la loi de la part des responsables de traitement et des sous-traitants, la CNIL peut prononcer des sanctions à l’égard des responsables de traitements et/ou de leurs sous-traitants qui ne respecteraient pas ces textes.

Lorsque des manquements au RGPD ou à la loi sont portés à sa connaissance, la CNIL peut :

Prononcer un rappel à l’ordre ;
Enjoindre de mettre le traitement en conformité, y compris sous astreinte ;
Limiter temporairement ou définitivement un traitement ;
Suspendre les flux de données ;
Ordonner de satisfaire aux demandes d’exercice des droits des personnes, y compris sous astreinte ;
Prononcer une amende administrative qui peut être rendue publique et dont le montant peut s’élever :
Jusqu’à 2 % du chiffre d’affaires mondial de l’entreprise pour des manquements tels que l’absence de registre de traitements, le défaut d’annonce suite à une faille décelée, le défaut d’étude d’impact sur la vie privée (en cas de données sensibles), etc.
Jusqu’à 4 % du chiffre d’affaires mondial notamment en cas de refus d’obtempérer aux injonctions de la CNIL, de traitements de données illégaux, de défaut de consentement, de non-respect des droits des personnes, etc.

Également, toute personne concernée par une violation de ses données personnelles par le responsable de traitement et/ou son sous-traitant, et ayant subi un dommage matériel ou moral du fait de cette violation, peut obtenir réparation de son préjudice notamment sous la forme de dommages et intérêts. En cas de contrôle de la CNIL, vous devez être en mesure de garantir la protection des données personnelles et de démontrer les mesures prises à cet effet.

Pourquoi se mettre en conformité au RGPD ?

Il est nécessaire de se mettre en conformité au RGPD et ce pour plusieurs raisons.

Tout d’abord, il s’agit d’une obligation imposée à tout organisme, public ou privé, traitant des données personnelles dès lors que celui-ci est établi sur le territoire de l’Union européenne ou que son activité cible directement des résidents européens.

Ensuite, les organisations non conformes au RGPD s’exposent à de forts risques de sanctions dont notamment des amendes administratives pouvant s’élever à hauteur de 2 ou 4% du chiffre d’affaires annuel mondial de l’entreprise.

Enfin, au-delà d’être une obligation légale et règlementaire et de constituer un risque accru de sanction, le RGPD est une véritable opportunité puisqu’il permet de :

Valoriser la data en exploitant les données de manière légale et qualitative

Accroître la confiance des clients, partenaires et prospects grâce à la transparence

Conforter et renforcer l’image de marque du cabinet

Acquérir de nouveaux clients et de nouveaux marchés

Remporter des appels d’offre (les acheteurs publics ont l’obligation de vérifier la conformité RGPD des soumissionnaires à appel d’offres)

Améliorer l’organisation interne et renforcer la confiance des collaborateurs de l’organisme

Être conforme RGPD est donc primordial.

Quel est le rôle de l’expert-comptable dans l’accompagnement de ses clients en matière de conformité RGPD ?

En application de l’article 155 du Décret du 30 mars 2012 relatif à l’exercice de l’activité d’expertise comptable, les experts-comptables sont tenus à un devoir d’information et de conseil à l’égard de leurs clients ou adhérents.

Dès lors, dans sa qualité et son devoir de conseil, le rôle de l’expert comptable est de veiller à ce que ses clients respectent le RGPD, notamment à l’occasion de ses missions d’audits ou de l’élaboration de propositions offres d’accompagnement. Pour éviter tout cas de contentieux en défaut d’information et de conseil, les experts-comptables doivent donc à minima informer leurs clients de leur obligation à se mettre en conformité au RGPD.

Un partenariat entre la CNIL et le CSOEC a été conclu en ce sens en 2020 afin notamment de diffuser une culture de la protection des données personnelles auprès des experts-comptables, à la fois pour la mise en conformité de leur propre structure mais également dans leur rôle de proximité auprès des entreprises.

En effet, les experts-comptables ont une connaissance approfondie des risques liés à l’activité de leurs clients et ils constituent un interlocuteur privilégié pour répondre aux besoins de mise en conformité de ces derniers. Le CSOEC estime ainsi que « Les experts-comptables sont compétents en matière de protection des données personnelles dès lors qu’ils ont déjà mis en place les obligations imposées par le RGPD au sein de leurs cabinets. Ils peuvent donc proposer une mission dans laquelle ils accompagnent leurs entreprises clientes à mettre en place le RGPD ».

C’est dans ce contexte que l’expert-comptable est amené à la fois à alerter ses clients sur leur conformité RGPD et à leur proposer des prestations de service relatives à la mise en conformité RGPD.

Qu’implique la mise en conformité au RGPD pour le cabinet d’expertise comptable ?

Le processus de mise en conformité au RGPD implique de respecter la mise en œuvre de plusieurs mesures, notamment :

Constituer un registre des traitements des données

Il permet au cabinet d’avoir une vision d’ensemble sur les traitements de données qu’il réalise. Le registre requiert de procéder à une identification des activités principales du cabinet ayant recours au traitement de données personnelles, c’est ce qu’on appelle les traitements. L’expert-comptable responsable de traitement ou le sous-traitant doit ainsi procéder à la création d’une fiche pour chaque traitement recensé, en indiquant notamment sa finalité, c’est-à-dire l’objectif en vue duquel les données sont traitées par le cabinet.

Enfin, le registre doit être mis à jour régulièrement car les cabinets peuvent être amenés à changer de logiciels, à faire évoluer leur organisation interne ou à changer de sous-traitants. La protection des données doit donc être continue.

A noter : Il est vivement conseillé de confier la tenue du registre de traitements au délégué à la protection des données (DPD) / data protection officer (DPO) qui se chargera de sa mise à jour régulièrement.

Trier les données

Le cabinet doit se limiter à la collecte des données strictement nécessaires au traitement. C’est le principe de minimisation des données. Ainsi, les données ne doivent être traitées que si :

elles sont nécessaires à l’activité de l’organisme ;

il ne s’agit pas de données dites « sensibles », dans le cas contraire il convient de s’assurer que le cabinet a bien le droit de les traiter ;

les données sont accessibles uniquement aux personnes habilitées ;

les données sont conservées uniquement le temps nécessaire et/ou règlementaire ;

Respecter les droits des personnes.

Le RGPD a pour objectif de renforcer la protection des données des personnes. C’est pourquoi il est venu conférer à ces dernières un certain nombre de droits, notamment le droit d’accès, de rectification, d’opposition, d’effacement, le droit à la limitation du traitement, à la portabilité. C’est au responsable de traitement qu’il appartient de mettre en place les mesures visant à faire respecter ces droits.

Sécuriser les données personnelles

Le responsable de traitement doit prendre les mesures nécessaires afin de garantir la sécurisation des données personnelles en réduisant les risques de violations de données en respectant notamment les principes suivants :

Le principe de confidentialité : les données doivent être accessibles aux seules personnes autorisées

Le principe d’intégrité : les données ne doivent pas être altérées ou modifiées

Le principe de disponibilité : les données doivent être en permanence accessibles aux personnes autorisées

Si un organisme subi une violation de données, il doit procéder à un signalement à la CNIL dans les 72 heures suivant la violation, si celle-ci est susceptible de représenter un risque pour les droits et libertés des personnes concernées.

Respecter le principe d’accountability

Ce principe désigne l’obligation pour les cabinets de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données.

En cas de contrôle de la CNIL, la cabinet doit donc être en mesure de démontrer sa conformité au RGPD et les mesures prises à cet effet.

Révision des pratiques, contrats et lettre de mission rgpd expert-comptable

Dans le cadre du processus de mise en conformité, il est également nécessaire de modifier tous les contrats de prestation et les lettres de mission du cabinet. L’Ordre des experts comptables recommande en ce sens de revoir les contrats clients en incluant dans les lettres de mission de nouvelles clauses sur la responsabilité des traitements des données personnelles.

Également, il est désormais exclu de communiquer des bulletins de paie par email. Il convient dorénavant d’utiliser une plateforme

Quelles sont les nouvelles responsabilités qu’implique le RGPD pour les experts-comptables ?

Au-delà des responsabilités inhérentes à la qualité de responsable de traitement, le RGPD implique de nouvelles responsabilités pour les experts-comptables. Tout d’abord, ils voient leur responsabilité renforcée en matière de devoir d’information et de conseil, du fait de leur devoir d’informer leurs clients quant à l’obligation d’être en conformité au RGPD.

Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations spécifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur démarche permanente de mise en conformité.

Dès lors, dès qu’un cabinet intervient en qualité de sous-traitant dans le cadre de ses missions, celui-ci doit offrir à ses clients « des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée » (Art.28 RGPD).

Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformité à certaines obligations prévues par le RGPD (analyses d’impact, notification de violation, sécurité, destruction des données, contribution aux audits). Cela implique :

Une obligation de transparence et de traçabilité
La prise en compte des principes de protection des données dès la conception et par défaut
Une obligation de garantir la sécurité des données traitées
Une obligation d’assistance, d’alerte et de conseil

C’est dans ce contexte que l’Ordre des experts comptables préconise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilité des traitements des do

La désignation d’un DPO est-elle obligatoire ?

Le RGPD a instauré la fonction de Délégué à la Protection des Données (DPD) / Data Protection Officer (DPO). L’article 37 du RGPD vise 3 situations dans lesquelles la désignation d’un DPO est obligatoire :

Le traitement de données personnelles est mis en œuvre par une autorité publique ou un organisme public ;
L’entité concernée a pour activités de base la mise en œuvre de traitement de données qui, du fait de leur nature, de leur portée et/ou de leur finalité, exigent un suivi régulier et systématique à grande échelle d’individus ;
L’entité concernée a pour activités de base la mise en œuvre de traitement à grande échelle de catégories particulières de données (données de santé, relatives aux opinions philosophique, religieuses, etc.) ou de données relatives à des condamnations pénales ou des infractions.

Si l’un de ces trois critères est rempli, l’entité concernée a l’obligation de désigner un DPO. Si la désignation d’un DPO n’est donc pas nécessairement obligatoire, il est dans tous les cas vivement recommandé de désigner à minima un référent RGPD parmi les collaborateur

Quels sont les avantages a désigner un DPO ?

L’AFCDP a établi une liste de 15 bonnes raisons de désigner un DPO, à savoir la désignation d’un DPO :

permet de réduire le risque juridique
contribue à un allègement des formalités
permet à une organisation de bénéficier d’une relation privilégiée avec la CNIL, avec des interlocuteurs dédiés
permet à une organisation de mettre en œuvre plus rapidement les traitements de données à caractère personnel
améliore l’image de marque de l’organisation
contribue à l’amélioration du climat social (gestion de la cybersurveillance)
favorise la mise en œuvre d’une approche qualité pour la gestion de l’information au sein de l’organisation (cartographie des traitements)
contribue à améliorer la politique de sécurité informatique de l’organisation
contribue à réduire les coûts de traitement des informations (rationalisation des traitements, suppression des données obsolètes)
contribue à réduire les coûts de gestion client (exercice du droit d’accès, gestion des litiges)
permet d’identifier, donc de maîtriser, les coûts déjà engagés pour la mise en conformité avec la réglementation informatique et libertés
permet une meilleure valorisation du patrimoine informationnel
facilite la mise en œuvre de nouveaux services en ligne
permet de développer la collaboration et les synergies entre services (juridique, informatique, marketing, …)
facilite la coopération avec les groupes multinationaux qui disposent pour la plupart d’un Chief Privacy Officier influent

Qu’est-ce que le RGPD change pour les missions de l’EC ?

Le RGPD implique deux principaux changements dans l’exercice des missions des experts-comptables. Tout d’abord, les experts-comptables ont dorénavant le devoir d’informer leurs clients quant à l’obligation d’être en conformité avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations spécifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur démarche permanente de mise en conformité.

Dès lors, dès qu’un cabinet intervient en qualité de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformité à certaines obligations prévues par le RGPD (analyses d’impact, notification de violation, sécurité, destruction des données, contribution aux audits). Cela implique :

Une obligation de transparence et de traçabilité
La prise en compte des principes de protection des données dès la conception et par défaut
Une obligation de garantir la sécurité des données traitées
Une obligation d’assistance, d’alerte et de conseil

Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>

<\/p>

C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>

<\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"

L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}

Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>

Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>

<\/p>

La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>

Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>

Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>

<\/p>

Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>

La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>

Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>

Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>

<\/p>

Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
<\/p>
C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
<\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]} <\/p>
D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
<\/p>
- Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
- La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
- Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
- Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
  <\/p>
  C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
  <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
  L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]} <\/p>
  Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
  <\/p>
  D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
  <\/p>
  - Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
  - La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
  - Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
  - Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
    <\/p>
    C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
    <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
    L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]} <\/p>
    Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
    <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
    L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
    - permet de r\u00e9duire le risque juridique<\/div><\/li>
    - contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
    - permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
    - permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
    - am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
    - contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
    - favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
    - contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
    - contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
    - contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
    - permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
    - permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
    - facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
    - permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
    - facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
      <\/p>
      Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
      <\/p>
      D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
      <\/p>
      Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
      La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
      Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
      Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
      <\/p>
      C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
      <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
      L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
    - L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
      <\/p>
      Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
      <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
      L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
      - permet de r\u00e9duire le risque juridique<\/div><\/li>
      - contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
      - permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
      - permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
      - am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
      - contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
      - favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
      - contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
      - contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
      - contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
      - permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
      - permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
      - facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
      - permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
      - facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
      - L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
      - L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        <\/p>
        Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit offrir \u00e0 ses clients \u00ab des garanties suffisantes quant \u00e0 la mise en \u0153uvre de mesures techniques et organisationnelles appropri\u00e9es de mani\u00e8re \u00e0 ce que le traitement r\u00e9ponde aux exigences du pr\u00e9sent r\u00e8glement et garantisse la protection des droits de la personne concern\u00e9e \u00bb (Art.28 RGPD).<\/p>
        <\/p>
        Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        <\/p>
        Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit offrir \u00e0 ses clients \u00ab des garanties suffisantes quant \u00e0 la mise en \u0153uvre de mesures techniques et organisationnelles appropri\u00e9es de mani\u00e8re \u00e0 ce que le traitement r\u00e9ponde aux exigences du pr\u00e9sent r\u00e8glement et garantisse la protection des droits de la personne concern\u00e9e \u00bb (Art.28 RGPD).<\/p>
        <\/p>
        Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        <\/p>
        Au-del\u00e0 des responsabilit\u00e9s inh\u00e9rentes \u00e0 la qualit\u00e9 de responsable de traitement, le RGPD implique de nouvelles responsabilit\u00e9s pour les experts-comptables. Tout d\u2019abord, ils voient leur responsabilit\u00e9 renforc\u00e9e en mati\u00e8re de devoir d\u2019information et de conseil, du fait de leur devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit offrir \u00e0 ses clients \u00ab des garanties suffisantes quant \u00e0 la mise en \u0153uvre de mesures techniques et organisationnelles appropri\u00e9es de mani\u00e8re \u00e0 ce que le traitement r\u00e9ponde aux exigences du pr\u00e9sent r\u00e8glement et garantisse la protection des droits de la personne concern\u00e9e \u00bb (Art.28 RGPD).<\/p>
        <\/p>
        Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        <\/p>\n
        \u00c9galement, il est d\u00e9sormais exclu de communiquer des bulletins de paie par email. Il convient dor\u00e9navant d\u2019utiliser une plateforme<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quelles sont les nouvelles responsabilit\u00e9s qu\u2019implique le RGPD pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Au-del\u00e0 des responsabilit\u00e9s inh\u00e9rentes \u00e0 la qualit\u00e9 de responsable de traitement, le RGPD implique de nouvelles responsabilit\u00e9s pour les experts-comptables. Tout d\u2019abord, ils voient leur responsabilit\u00e9 renforc\u00e9e en mati\u00e8re de devoir d\u2019information et de conseil, du fait de leur devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit offrir \u00e0 ses clients \u00ab des garanties suffisantes quant \u00e0 la mise en \u0153uvre de mesures techniques et organisationnelles appropri\u00e9es de mani\u00e8re \u00e0 ce que le traitement r\u00e9ponde aux exigences du pr\u00e9sent r\u00e8glement et garantisse la protection des droits de la personne concern\u00e9e \u00bb (Art.28 RGPD).<\/p>
        <\/p>
        Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        <\/p>\n
        Dans le cadre du processus de mise en conformit\u00e9, il est \u00e9galement n\u00e9cessaire de modifier tous les contrats de prestation et les lettres de mission du cabinet. L\u2019Ordre des experts comptables recommande en ce sens de revoir les contrats clients en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>\n
        <\/p>\n
        \u00c9galement, il est d\u00e9sormais exclu de communiquer des bulletins de paie par email. Il convient dor\u00e9navant d\u2019utiliser une plateforme<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quelles sont les nouvelles responsabilit\u00e9s qu\u2019implique le RGPD pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Au-del\u00e0 des responsabilit\u00e9s inh\u00e9rentes \u00e0 la qualit\u00e9 de responsable de traitement, le RGPD implique de nouvelles responsabilit\u00e9s pour les experts-comptables. Tout d\u2019abord, ils voient leur responsabilit\u00e9 renforc\u00e9e en mati\u00e8re de devoir d\u2019information et de conseil, du fait de leur devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit offrir \u00e0 ses clients \u00ab des garanties suffisantes quant \u00e0 la mise en \u0153uvre de mesures techniques et organisationnelles appropri\u00e9es de mani\u00e8re \u00e0 ce que le traitement r\u00e9ponde aux exigences du pr\u00e9sent r\u00e8glement et garantisse la protection des droits de la personne concern\u00e9e \u00bb (Art.28 RGPD).<\/p>
        <\/p>
        Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        
        <\/p>\n
        R\u00e9vision des pratiques, contrats et lettre de mission rgpd expert-comptable<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Dans le cadre du processus de mise en conformit\u00e9, il est \u00e9galement n\u00e9cessaire de modifier tous les contrats de prestation et les lettres de mission du cabinet. L\u2019Ordre des experts comptables recommande en ce sens de revoir les contrats clients en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>\n
        <\/p>\n
        \u00c9galement, il est d\u00e9sormais exclu de communiquer des bulletins de paie par email. Il convient dor\u00e9navant d\u2019utiliser une plateforme<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quelles sont les nouvelles responsabilit\u00e9s qu\u2019implique le RGPD pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Au-del\u00e0 des responsabilit\u00e9s inh\u00e9rentes \u00e0 la qualit\u00e9 de responsable de traitement, le RGPD implique de nouvelles responsabilit\u00e9s pour les experts-comptables. Tout d\u2019abord, ils voient leur responsabilit\u00e9 renforc\u00e9e en mati\u00e8re de devoir d\u2019information et de conseil, du fait de leur devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit offrir \u00e0 ses clients \u00ab des garanties suffisantes quant \u00e0 la mise en \u0153uvre de mesures techniques et organisationnelles appropri\u00e9es de mani\u00e8re \u00e0 ce que le traitement r\u00e9ponde aux exigences du pr\u00e9sent r\u00e8glement et garantisse la protection des droits de la personne concern\u00e9e \u00bb (Art.28 RGPD).<\/p>
        <\/p>
        Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        <\/p>\n
        <\/p>\n
        R\u00e9vision des pratiques, contrats et lettre de mission rgpd expert-comptable<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Dans le cadre du processus de mise en conformit\u00e9, il est \u00e9galement n\u00e9cessaire de modifier tous les contrats de prestation et les lettres de mission du cabinet. L\u2019Ordre des experts comptables recommande en ce sens de revoir les contrats clients en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>\n
        <\/p>\n
        \u00c9galement, il est d\u00e9sormais exclu de communiquer des bulletins de paie par email. Il convient dor\u00e9navant d\u2019utiliser une plateforme<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quelles sont les nouvelles responsabilit\u00e9s qu\u2019implique le RGPD pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Au-del\u00e0 des responsabilit\u00e9s inh\u00e9rentes \u00e0 la qualit\u00e9 de responsable de traitement, le RGPD implique de nouvelles responsabilit\u00e9s pour les experts-comptables. Tout d\u2019abord, ils voient leur responsabilit\u00e9 renforc\u00e9e en mati\u00e8re de devoir d\u2019information et de conseil, du fait de leur devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit offrir \u00e0 ses clients \u00ab des garanties suffisantes quant \u00e0 la mise en \u0153uvre de mesures techniques et organisationnelles appropri\u00e9es de mani\u00e8re \u00e0 ce que le traitement r\u00e9ponde aux exigences du pr\u00e9sent r\u00e8glement et garantisse la protection des droits de la personne concern\u00e9e \u00bb (Art.28 RGPD).<\/p>
        <\/p>
        Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        <\/p>\n
        En cas de contr\u00f4le de la CNIL, la cabinet doit donc \u00eatre en mesure de d\u00e9montrer sa conformit\u00e9 au RGPD et les mesures prises \u00e0 cet effet.<\/p>\n
        <\/p>\n
        <\/p>\n
        R\u00e9vision des pratiques, contrats et lettre de mission rgpd expert-comptable<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Dans le cadre du processus de mise en conformit\u00e9, il est \u00e9galement n\u00e9cessaire de modifier tous les contrats de prestation et les lettres de mission du cabinet. L\u2019Ordre des experts comptables recommande en ce sens de revoir les contrats clients en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>\n
        <\/p>\n
        \u00c9galement, il est d\u00e9sormais exclu de communiquer des bulletins de paie par email. Il convient dor\u00e9navant d\u2019utiliser une plateforme<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quelles sont les nouvelles responsabilit\u00e9s qu\u2019implique le RGPD pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Au-del\u00e0 des responsabilit\u00e9s inh\u00e9rentes \u00e0 la qualit\u00e9 de responsable de traitement, le RGPD implique de nouvelles responsabilit\u00e9s pour les experts-comptables. Tout d\u2019abord, ils voient leur responsabilit\u00e9 renforc\u00e9e en mati\u00e8re de devoir d\u2019information et de conseil, du fait de leur devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit offrir \u00e0 ses clients \u00ab des garanties suffisantes quant \u00e0 la mise en \u0153uvre de mesures techniques et organisationnelles appropri\u00e9es de mani\u00e8re \u00e0 ce que le traitement r\u00e9ponde aux exigences du pr\u00e9sent r\u00e8glement et garantisse la protection des droits de la personne concern\u00e9e \u00bb (Art.28 RGPD).<\/p>
        <\/p>
        Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        <\/p>\n
        Ce principe d\u00e9signe l\u2019obligation pour les cabinets de mettre en \u0153uvre des m\u00e9canismes et des proc\u00e9dures internes permettant de d\u00e9montrer le respect des r\u00e8gles relatives \u00e0 la protection des donn\u00e9es.<\/p>\n
        <\/p>\n
        En cas de contr\u00f4le de la CNIL, la cabinet doit donc \u00eatre en mesure de d\u00e9montrer sa conformit\u00e9 au RGPD et les mesures prises \u00e0 cet effet.<\/p>\n
        <\/p>\n
        <\/p>\n
        R\u00e9vision des pratiques, contrats et lettre de mission rgpd expert-comptable<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Dans le cadre du processus de mise en conformit\u00e9, il est \u00e9galement n\u00e9cessaire de modifier tous les contrats de prestation et les lettres de mission du cabinet. L\u2019Ordre des experts comptables recommande en ce sens de revoir les contrats clients en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>\n
        <\/p>\n
        \u00c9galement, il est d\u00e9sormais exclu de communiquer des bulletins de paie par email. Il convient dor\u00e9navant d\u2019utiliser une plateforme<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quelles sont les nouvelles responsabilit\u00e9s qu\u2019implique le RGPD pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Au-del\u00e0 des responsabilit\u00e9s inh\u00e9rentes \u00e0 la qualit\u00e9 de responsable de traitement, le RGPD implique de nouvelles responsabilit\u00e9s pour les experts-comptables. Tout d\u2019abord, ils voient leur responsabilit\u00e9 renforc\u00e9e en mati\u00e8re de devoir d\u2019information et de conseil, du fait de leur devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit offrir \u00e0 ses clients \u00ab des garanties suffisantes quant \u00e0 la mise en \u0153uvre de mesures techniques et organisationnelles appropri\u00e9es de mani\u00e8re \u00e0 ce que le traitement r\u00e9ponde aux exigences du pr\u00e9sent r\u00e8glement et garantisse la protection des droits de la personne concern\u00e9e \u00bb (Art.28 RGPD).<\/p>
        <\/p>
        Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        
        <\/p>\n
        Respecter le principe d\u2019accountability<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Ce principe d\u00e9signe l\u2019obligation pour les cabinets de mettre en \u0153uvre des m\u00e9canismes et des proc\u00e9dures internes permettant de d\u00e9montrer le respect des r\u00e8gles relatives \u00e0 la protection des donn\u00e9es.<\/p>\n
        <\/p>\n
        En cas de contr\u00f4le de la CNIL, la cabinet doit donc \u00eatre en mesure de d\u00e9montrer sa conformit\u00e9 au RGPD et les mesures prises \u00e0 cet effet.<\/p>\n
        <\/p>\n
        <\/p>\n
        R\u00e9vision des pratiques, contrats et lettre de mission rgpd expert-comptable<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Dans le cadre du processus de mise en conformit\u00e9, il est \u00e9galement n\u00e9cessaire de modifier tous les contrats de prestation et les lettres de mission du cabinet. L\u2019Ordre des experts comptables recommande en ce sens de revoir les contrats clients en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>\n
        <\/p>\n
        \u00c9galement, il est d\u00e9sormais exclu de communiquer des bulletins de paie par email. Il convient dor\u00e9navant d\u2019utiliser une plateforme<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quelles sont les nouvelles responsabilit\u00e9s qu\u2019implique le RGPD pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Au-del\u00e0 des responsabilit\u00e9s inh\u00e9rentes \u00e0 la qualit\u00e9 de responsable de traitement, le RGPD implique de nouvelles responsabilit\u00e9s pour les experts-comptables. Tout d\u2019abord, ils voient leur responsabilit\u00e9 renforc\u00e9e en mati\u00e8re de devoir d\u2019information et de conseil, du fait de leur devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit offrir \u00e0 ses clients \u00ab des garanties suffisantes quant \u00e0 la mise en \u0153uvre de mesures techniques et organisationnelles appropri\u00e9es de mani\u00e8re \u00e0 ce que le traitement r\u00e9ponde aux exigences du pr\u00e9sent r\u00e8glement et garantisse la protection des droits de la personne concern\u00e9e \u00bb (Art.28 RGPD).<\/p>
        <\/p>
        Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        <\/p>\n
        <\/p>\n
        Respecter le principe d\u2019accountability<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Ce principe d\u00e9signe l\u2019obligation pour les cabinets de mettre en \u0153uvre des m\u00e9canismes et des proc\u00e9dures internes permettant de d\u00e9montrer le respect des r\u00e8gles relatives \u00e0 la protection des donn\u00e9es.<\/p>\n
        <\/p>\n
        En cas de contr\u00f4le de la CNIL, la cabinet doit donc \u00eatre en mesure de d\u00e9montrer sa conformit\u00e9 au RGPD et les mesures prises \u00e0 cet effet.<\/p>\n
        <\/p>\n
        <\/p>\n
        R\u00e9vision des pratiques, contrats et lettre de mission rgpd expert-comptable<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Dans le cadre du processus de mise en conformit\u00e9, il est \u00e9galement n\u00e9cessaire de modifier tous les contrats de prestation et les lettres de mission du cabinet. L\u2019Ordre des experts comptables recommande en ce sens de revoir les contrats clients en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>\n
        <\/p>\n
        \u00c9galement, il est d\u00e9sormais exclu de communiquer des bulletins de paie par email. Il convient dor\u00e9navant d\u2019utiliser une plateforme<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quelles sont les nouvelles responsabilit\u00e9s qu\u2019implique le RGPD pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Au-del\u00e0 des responsabilit\u00e9s inh\u00e9rentes \u00e0 la qualit\u00e9 de responsable de traitement, le RGPD implique de nouvelles responsabilit\u00e9s pour les experts-comptables. Tout d\u2019abord, ils voient leur responsabilit\u00e9 renforc\u00e9e en mati\u00e8re de devoir d\u2019information et de conseil, du fait de leur devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit offrir \u00e0 ses clients \u00ab des garanties suffisantes quant \u00e0 la mise en \u0153uvre de mesures techniques et organisationnelles appropri\u00e9es de mani\u00e8re \u00e0 ce que le traitement r\u00e9ponde aux exigences du pr\u00e9sent r\u00e8glement et garantisse la protection des droits de la personne concern\u00e9e \u00bb (Art.28 RGPD).<\/p>
        <\/p>
        Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        <\/p>\n
        Si un organisme subi une violation de donn\u00e9es, il doit proc\u00e9der \u00e0 un signalement \u00e0 la CNIL dans les 72 heures suivant la violation, si celle-ci est susceptible de repr\u00e9senter un risque pour les droits et libert\u00e9s des personnes concern\u00e9es.<\/p>\n
        <\/p>\n
        <\/p>\n
        Respecter le principe d\u2019accountability<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Ce principe d\u00e9signe l\u2019obligation pour les cabinets de mettre en \u0153uvre des m\u00e9canismes et des proc\u00e9dures internes permettant de d\u00e9montrer le respect des r\u00e8gles relatives \u00e0 la protection des donn\u00e9es.<\/p>\n
        <\/p>\n
        En cas de contr\u00f4le de la CNIL, la cabinet doit donc \u00eatre en mesure de d\u00e9montrer sa conformit\u00e9 au RGPD et les mesures prises \u00e0 cet effet.<\/p>\n
        <\/p>\n
        <\/p>\n
        R\u00e9vision des pratiques, contrats et lettre de mission rgpd expert-comptable<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Dans le cadre du processus de mise en conformit\u00e9, il est \u00e9galement n\u00e9cessaire de modifier tous les contrats de prestation et les lettres de mission du cabinet. L\u2019Ordre des experts comptables recommande en ce sens de revoir les contrats clients en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>\n
        <\/p>\n
        \u00c9galement, il est d\u00e9sormais exclu de communiquer des bulletins de paie par email. Il convient dor\u00e9navant d\u2019utiliser une plateforme<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quelles sont les nouvelles responsabilit\u00e9s qu\u2019implique le RGPD pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Au-del\u00e0 des responsabilit\u00e9s inh\u00e9rentes \u00e0 la qualit\u00e9 de responsable de traitement, le RGPD implique de nouvelles responsabilit\u00e9s pour les experts-comptables. Tout d\u2019abord, ils voient leur responsabilit\u00e9 renforc\u00e9e en mati\u00e8re de devoir d\u2019information et de conseil, du fait de leur devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit offrir \u00e0 ses clients \u00ab des garanties suffisantes quant \u00e0 la mise en \u0153uvre de mesures techniques et organisationnelles appropri\u00e9es de mani\u00e8re \u00e0 ce que le traitement r\u00e9ponde aux exigences du pr\u00e9sent r\u00e8glement et garantisse la protection des droits de la personne concern\u00e9e \u00bb (Art.28 RGPD).<\/p>
        <\/p>
        Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        <\/p>\n
        Le principe de disponibilit\u00e9 : les donn\u00e9es doivent \u00eatre en permanence accessibles aux personnes autoris\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Si un organisme subi une violation de donn\u00e9es, il doit proc\u00e9der \u00e0 un signalement \u00e0 la CNIL dans les 72 heures suivant la violation, si celle-ci est susceptible de repr\u00e9senter un risque pour les droits et libert\u00e9s des personnes concern\u00e9es.<\/p>\n
        <\/p>\n
        <\/p>\n
        Respecter le principe d\u2019accountability<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Ce principe d\u00e9signe l\u2019obligation pour les cabinets de mettre en \u0153uvre des m\u00e9canismes et des proc\u00e9dures internes permettant de d\u00e9montrer le respect des r\u00e8gles relatives \u00e0 la protection des donn\u00e9es.<\/p>\n
        <\/p>\n
        En cas de contr\u00f4le de la CNIL, la cabinet doit donc \u00eatre en mesure de d\u00e9montrer sa conformit\u00e9 au RGPD et les mesures prises \u00e0 cet effet.<\/p>\n
        <\/p>\n
        <\/p>\n
        R\u00e9vision des pratiques, contrats et lettre de mission rgpd expert-comptable<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Dans le cadre du processus de mise en conformit\u00e9, il est \u00e9galement n\u00e9cessaire de modifier tous les contrats de prestation et les lettres de mission du cabinet. L\u2019Ordre des experts comptables recommande en ce sens de revoir les contrats clients en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>\n
        <\/p>\n
        \u00c9galement, il est d\u00e9sormais exclu de communiquer des bulletins de paie par email. Il convient dor\u00e9navant d\u2019utiliser une plateforme<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quelles sont les nouvelles responsabilit\u00e9s qu\u2019implique le RGPD pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Au-del\u00e0 des responsabilit\u00e9s inh\u00e9rentes \u00e0 la qualit\u00e9 de responsable de traitement, le RGPD implique de nouvelles responsabilit\u00e9s pour les experts-comptables. Tout d\u2019abord, ils voient leur responsabilit\u00e9 renforc\u00e9e en mati\u00e8re de devoir d\u2019information et de conseil, du fait de leur devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit offrir \u00e0 ses clients \u00ab des garanties suffisantes quant \u00e0 la mise en \u0153uvre de mesures techniques et organisationnelles appropri\u00e9es de mani\u00e8re \u00e0 ce que le traitement r\u00e9ponde aux exigences du pr\u00e9sent r\u00e8glement et garantisse la protection des droits de la personne concern\u00e9e \u00bb (Art.28 RGPD).<\/p>
        <\/p>
        Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        <\/p>\n
        Le principe d\u2019int\u00e9grit\u00e9 : les donn\u00e9es ne doivent pas \u00eatre alt\u00e9r\u00e9es ou modifi\u00e9es<\/li>\n
        <\/p>\n
        Le principe de disponibilit\u00e9 : les donn\u00e9es doivent \u00eatre en permanence accessibles aux personnes autoris\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Si un organisme subi une violation de donn\u00e9es, il doit proc\u00e9der \u00e0 un signalement \u00e0 la CNIL dans les 72 heures suivant la violation, si celle-ci est susceptible de repr\u00e9senter un risque pour les droits et libert\u00e9s des personnes concern\u00e9es.<\/p>\n
        <\/p>\n
        <\/p>\n
        Respecter le principe d\u2019accountability<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Ce principe d\u00e9signe l\u2019obligation pour les cabinets de mettre en \u0153uvre des m\u00e9canismes et des proc\u00e9dures internes permettant de d\u00e9montrer le respect des r\u00e8gles relatives \u00e0 la protection des donn\u00e9es.<\/p>\n
        <\/p>\n
        En cas de contr\u00f4le de la CNIL, la cabinet doit donc \u00eatre en mesure de d\u00e9montrer sa conformit\u00e9 au RGPD et les mesures prises \u00e0 cet effet.<\/p>\n
        <\/p>\n
        <\/p>\n
        R\u00e9vision des pratiques, contrats et lettre de mission rgpd expert-comptable<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Dans le cadre du processus de mise en conformit\u00e9, il est \u00e9galement n\u00e9cessaire de modifier tous les contrats de prestation et les lettres de mission du cabinet. L\u2019Ordre des experts comptables recommande en ce sens de revoir les contrats clients en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>\n
        <\/p>\n
        \u00c9galement, il est d\u00e9sormais exclu de communiquer des bulletins de paie par email. Il convient dor\u00e9navant d\u2019utiliser une plateforme<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quelles sont les nouvelles responsabilit\u00e9s qu\u2019implique le RGPD pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Au-del\u00e0 des responsabilit\u00e9s inh\u00e9rentes \u00e0 la qualit\u00e9 de responsable de traitement, le RGPD implique de nouvelles responsabilit\u00e9s pour les experts-comptables. Tout d\u2019abord, ils voient leur responsabilit\u00e9 renforc\u00e9e en mati\u00e8re de devoir d\u2019information et de conseil, du fait de leur devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit offrir \u00e0 ses clients \u00ab des garanties suffisantes quant \u00e0 la mise en \u0153uvre de mesures techniques et organisationnelles appropri\u00e9es de mani\u00e8re \u00e0 ce que le traitement r\u00e9ponde aux exigences du pr\u00e9sent r\u00e8glement et garantisse la protection des droits de la personne concern\u00e9e \u00bb (Art.28 RGPD).<\/p>
        <\/p>
        Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        
        <\/p>\n
        Le principe de confidentialit\u00e9 : les donn\u00e9es doivent \u00eatre accessibles aux seules personnes autoris\u00e9es<\/li>\n
        <\/p>\n
        Le principe d\u2019int\u00e9grit\u00e9 : les donn\u00e9es ne doivent pas \u00eatre alt\u00e9r\u00e9es ou modifi\u00e9es<\/li>\n
        <\/p>\n
        Le principe de disponibilit\u00e9 : les donn\u00e9es doivent \u00eatre en permanence accessibles aux personnes autoris\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Si un organisme subi une violation de donn\u00e9es, il doit proc\u00e9der \u00e0 un signalement \u00e0 la CNIL dans les 72 heures suivant la violation, si celle-ci est susceptible de repr\u00e9senter un risque pour les droits et libert\u00e9s des personnes concern\u00e9es.<\/p>\n
        <\/p>\n
        <\/p>\n
        Respecter le principe d\u2019accountability<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Ce principe d\u00e9signe l\u2019obligation pour les cabinets de mettre en \u0153uvre des m\u00e9canismes et des proc\u00e9dures internes permettant de d\u00e9montrer le respect des r\u00e8gles relatives \u00e0 la protection des donn\u00e9es.<\/p>\n
        <\/p>\n
        En cas de contr\u00f4le de la CNIL, la cabinet doit donc \u00eatre en mesure de d\u00e9montrer sa conformit\u00e9 au RGPD et les mesures prises \u00e0 cet effet.<\/p>\n
        <\/p>\n
        <\/p>\n
        R\u00e9vision des pratiques, contrats et lettre de mission rgpd expert-comptable<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Dans le cadre du processus de mise en conformit\u00e9, il est \u00e9galement n\u00e9cessaire de modifier tous les contrats de prestation et les lettres de mission du cabinet. L\u2019Ordre des experts comptables recommande en ce sens de revoir les contrats clients en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>\n
        <\/p>\n
        \u00c9galement, il est d\u00e9sormais exclu de communiquer des bulletins de paie par email. Il convient dor\u00e9navant d\u2019utiliser une plateforme<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quelles sont les nouvelles responsabilit\u00e9s qu\u2019implique le RGPD pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Au-del\u00e0 des responsabilit\u00e9s inh\u00e9rentes \u00e0 la qualit\u00e9 de responsable de traitement, le RGPD implique de nouvelles responsabilit\u00e9s pour les experts-comptables. Tout d\u2019abord, ils voient leur responsabilit\u00e9 renforc\u00e9e en mati\u00e8re de devoir d\u2019information et de conseil, du fait de leur devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit offrir \u00e0 ses clients \u00ab des garanties suffisantes quant \u00e0 la mise en \u0153uvre de mesures techniques et organisationnelles appropri\u00e9es de mani\u00e8re \u00e0 ce que le traitement r\u00e9ponde aux exigences du pr\u00e9sent r\u00e8glement et garantisse la protection des droits de la personne concern\u00e9e \u00bb (Art.28 RGPD).<\/p>
        <\/p>
        Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        <\/p>\n
        <\/p>\n
        Le principe de confidentialit\u00e9 : les donn\u00e9es doivent \u00eatre accessibles aux seules personnes autoris\u00e9es<\/li>\n
        <\/p>\n
        Le principe d\u2019int\u00e9grit\u00e9 : les donn\u00e9es ne doivent pas \u00eatre alt\u00e9r\u00e9es ou modifi\u00e9es<\/li>\n
        <\/p>\n
        Le principe de disponibilit\u00e9 : les donn\u00e9es doivent \u00eatre en permanence accessibles aux personnes autoris\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Si un organisme subi une violation de donn\u00e9es, il doit proc\u00e9der \u00e0 un signalement \u00e0 la CNIL dans les 72 heures suivant la violation, si celle-ci est susceptible de repr\u00e9senter un risque pour les droits et libert\u00e9s des personnes concern\u00e9es.<\/p>\n
        <\/p>\n
        <\/p>\n
        Respecter le principe d\u2019accountability<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Ce principe d\u00e9signe l\u2019obligation pour les cabinets de mettre en \u0153uvre des m\u00e9canismes et des proc\u00e9dures internes permettant de d\u00e9montrer le respect des r\u00e8gles relatives \u00e0 la protection des donn\u00e9es.<\/p>\n
        <\/p>\n
        En cas de contr\u00f4le de la CNIL, la cabinet doit donc \u00eatre en mesure de d\u00e9montrer sa conformit\u00e9 au RGPD et les mesures prises \u00e0 cet effet.<\/p>\n
        <\/p>\n
        <\/p>\n
        R\u00e9vision des pratiques, contrats et lettre de mission rgpd expert-comptable<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Dans le cadre du processus de mise en conformit\u00e9, il est \u00e9galement n\u00e9cessaire de modifier tous les contrats de prestation et les lettres de mission du cabinet. L\u2019Ordre des experts comptables recommande en ce sens de revoir les contrats clients en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>\n
        <\/p>\n
        \u00c9galement, il est d\u00e9sormais exclu de communiquer des bulletins de paie par email. Il convient dor\u00e9navant d\u2019utiliser une plateforme<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quelles sont les nouvelles responsabilit\u00e9s qu\u2019implique le RGPD pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Au-del\u00e0 des responsabilit\u00e9s inh\u00e9rentes \u00e0 la qualit\u00e9 de responsable de traitement, le RGPD implique de nouvelles responsabilit\u00e9s pour les experts-comptables. Tout d\u2019abord, ils voient leur responsabilit\u00e9 renforc\u00e9e en mati\u00e8re de devoir d\u2019information et de conseil, du fait de leur devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit offrir \u00e0 ses clients \u00ab des garanties suffisantes quant \u00e0 la mise en \u0153uvre de mesures techniques et organisationnelles appropri\u00e9es de mani\u00e8re \u00e0 ce que le traitement r\u00e9ponde aux exigences du pr\u00e9sent r\u00e8glement et garantisse la protection des droits de la personne concern\u00e9e \u00bb (Art.28 RGPD).<\/p>
        <\/p>
        Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        <\/p>\n
        Le responsable de traitement doit prendre les mesures n\u00e9cessaires afin de garantir la s\u00e9curisation des donn\u00e9es personnelles en r\u00e9duisant les risques de violations de donn\u00e9es en respectant notamment les principes suivants :<\/p>\n
        <\/p>\n
        <\/p>\n
        Le principe de confidentialit\u00e9 : les donn\u00e9es doivent \u00eatre accessibles aux seules personnes autoris\u00e9es<\/li>\n
        <\/p>\n
        Le principe d\u2019int\u00e9grit\u00e9 : les donn\u00e9es ne doivent pas \u00eatre alt\u00e9r\u00e9es ou modifi\u00e9es<\/li>\n
        <\/p>\n
        Le principe de disponibilit\u00e9 : les donn\u00e9es doivent \u00eatre en permanence accessibles aux personnes autoris\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Si un organisme subi une violation de donn\u00e9es, il doit proc\u00e9der \u00e0 un signalement \u00e0 la CNIL dans les 72 heures suivant la violation, si celle-ci est susceptible de repr\u00e9senter un risque pour les droits et libert\u00e9s des personnes concern\u00e9es.<\/p>\n
        <\/p>\n
        <\/p>\n
        Respecter le principe d\u2019accountability<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Ce principe d\u00e9signe l\u2019obligation pour les cabinets de mettre en \u0153uvre des m\u00e9canismes et des proc\u00e9dures internes permettant de d\u00e9montrer le respect des r\u00e8gles relatives \u00e0 la protection des donn\u00e9es.<\/p>\n
        <\/p>\n
        En cas de contr\u00f4le de la CNIL, la cabinet doit donc \u00eatre en mesure de d\u00e9montrer sa conformit\u00e9 au RGPD et les mesures prises \u00e0 cet effet.<\/p>\n
        <\/p>\n
        <\/p>\n
        R\u00e9vision des pratiques, contrats et lettre de mission rgpd expert-comptable<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Dans le cadre du processus de mise en conformit\u00e9, il est \u00e9galement n\u00e9cessaire de modifier tous les contrats de prestation et les lettres de mission du cabinet. L\u2019Ordre des experts comptables recommande en ce sens de revoir les contrats clients en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>\n
        <\/p>\n
        \u00c9galement, il est d\u00e9sormais exclu de communiquer des bulletins de paie par email. Il convient dor\u00e9navant d\u2019utiliser une plateforme<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quelles sont les nouvelles responsabilit\u00e9s qu\u2019implique le RGPD pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Au-del\u00e0 des responsabilit\u00e9s inh\u00e9rentes \u00e0 la qualit\u00e9 de responsable de traitement, le RGPD implique de nouvelles responsabilit\u00e9s pour les experts-comptables. Tout d\u2019abord, ils voient leur responsabilit\u00e9 renforc\u00e9e en mati\u00e8re de devoir d\u2019information et de conseil, du fait de leur devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit offrir \u00e0 ses clients \u00ab des garanties suffisantes quant \u00e0 la mise en \u0153uvre de mesures techniques et organisationnelles appropri\u00e9es de mani\u00e8re \u00e0 ce que le traitement r\u00e9ponde aux exigences du pr\u00e9sent r\u00e8glement et garantisse la protection des droits de la personne concern\u00e9e \u00bb (Art.28 RGPD).<\/p>
        <\/p>
        Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        
        <\/p>\n
        S\u00e9curiser les donn\u00e9es personnelles<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le responsable de traitement doit prendre les mesures n\u00e9cessaires afin de garantir la s\u00e9curisation des donn\u00e9es personnelles en r\u00e9duisant les risques de violations de donn\u00e9es en respectant notamment les principes suivants :<\/p>\n
        <\/p>\n
        <\/p>\n
        Le principe de confidentialit\u00e9 : les donn\u00e9es doivent \u00eatre accessibles aux seules personnes autoris\u00e9es<\/li>\n
        <\/p>\n
        Le principe d\u2019int\u00e9grit\u00e9 : les donn\u00e9es ne doivent pas \u00eatre alt\u00e9r\u00e9es ou modifi\u00e9es<\/li>\n
        <\/p>\n
        Le principe de disponibilit\u00e9 : les donn\u00e9es doivent \u00eatre en permanence accessibles aux personnes autoris\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Si un organisme subi une violation de donn\u00e9es, il doit proc\u00e9der \u00e0 un signalement \u00e0 la CNIL dans les 72 heures suivant la violation, si celle-ci est susceptible de repr\u00e9senter un risque pour les droits et libert\u00e9s des personnes concern\u00e9es.<\/p>\n
        <\/p>\n
        <\/p>\n
        Respecter le principe d\u2019accountability<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Ce principe d\u00e9signe l\u2019obligation pour les cabinets de mettre en \u0153uvre des m\u00e9canismes et des proc\u00e9dures internes permettant de d\u00e9montrer le respect des r\u00e8gles relatives \u00e0 la protection des donn\u00e9es.<\/p>\n
        <\/p>\n
        En cas de contr\u00f4le de la CNIL, la cabinet doit donc \u00eatre en mesure de d\u00e9montrer sa conformit\u00e9 au RGPD et les mesures prises \u00e0 cet effet.<\/p>\n
        <\/p>\n
        <\/p>\n
        R\u00e9vision des pratiques, contrats et lettre de mission rgpd expert-comptable<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Dans le cadre du processus de mise en conformit\u00e9, il est \u00e9galement n\u00e9cessaire de modifier tous les contrats de prestation et les lettres de mission du cabinet. L\u2019Ordre des experts comptables recommande en ce sens de revoir les contrats clients en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>\n
        <\/p>\n
        \u00c9galement, il est d\u00e9sormais exclu de communiquer des bulletins de paie par email. Il convient dor\u00e9navant d\u2019utiliser une plateforme<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quelles sont les nouvelles responsabilit\u00e9s qu\u2019implique le RGPD pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Au-del\u00e0 des responsabilit\u00e9s inh\u00e9rentes \u00e0 la qualit\u00e9 de responsable de traitement, le RGPD implique de nouvelles responsabilit\u00e9s pour les experts-comptables. Tout d\u2019abord, ils voient leur responsabilit\u00e9 renforc\u00e9e en mati\u00e8re de devoir d\u2019information et de conseil, du fait de leur devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit offrir \u00e0 ses clients \u00ab des garanties suffisantes quant \u00e0 la mise en \u0153uvre de mesures techniques et organisationnelles appropri\u00e9es de mani\u00e8re \u00e0 ce que le traitement r\u00e9ponde aux exigences du pr\u00e9sent r\u00e8glement et garantisse la protection des droits de la personne concern\u00e9e \u00bb (Art.28 RGPD).<\/p>
        <\/p>
        Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        <\/p>\n
        <\/p>\n
        S\u00e9curiser les donn\u00e9es personnelles<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le responsable de traitement doit prendre les mesures n\u00e9cessaires afin de garantir la s\u00e9curisation des donn\u00e9es personnelles en r\u00e9duisant les risques de violations de donn\u00e9es en respectant notamment les principes suivants :<\/p>\n
        <\/p>\n
        <\/p>\n
        Le principe de confidentialit\u00e9 : les donn\u00e9es doivent \u00eatre accessibles aux seules personnes autoris\u00e9es<\/li>\n
        <\/p>\n
        Le principe d\u2019int\u00e9grit\u00e9 : les donn\u00e9es ne doivent pas \u00eatre alt\u00e9r\u00e9es ou modifi\u00e9es<\/li>\n
        <\/p>\n
        Le principe de disponibilit\u00e9 : les donn\u00e9es doivent \u00eatre en permanence accessibles aux personnes autoris\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Si un organisme subi une violation de donn\u00e9es, il doit proc\u00e9der \u00e0 un signalement \u00e0 la CNIL dans les 72 heures suivant la violation, si celle-ci est susceptible de repr\u00e9senter un risque pour les droits et libert\u00e9s des personnes concern\u00e9es.<\/p>\n
        <\/p>\n
        <\/p>\n
        Respecter le principe d\u2019accountability<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Ce principe d\u00e9signe l\u2019obligation pour les cabinets de mettre en \u0153uvre des m\u00e9canismes et des proc\u00e9dures internes permettant de d\u00e9montrer le respect des r\u00e8gles relatives \u00e0 la protection des donn\u00e9es.<\/p>\n
        <\/p>\n
        En cas de contr\u00f4le de la CNIL, la cabinet doit donc \u00eatre en mesure de d\u00e9montrer sa conformit\u00e9 au RGPD et les mesures prises \u00e0 cet effet.<\/p>\n
        <\/p>\n
        <\/p>\n
        R\u00e9vision des pratiques, contrats et lettre de mission rgpd expert-comptable<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Dans le cadre du processus de mise en conformit\u00e9, il est \u00e9galement n\u00e9cessaire de modifier tous les contrats de prestation et les lettres de mission du cabinet. L\u2019Ordre des experts comptables recommande en ce sens de revoir les contrats clients en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>\n
        <\/p>\n
        \u00c9galement, il est d\u00e9sormais exclu de communiquer des bulletins de paie par email. Il convient dor\u00e9navant d\u2019utiliser une plateforme<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quelles sont les nouvelles responsabilit\u00e9s qu\u2019implique le RGPD pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Au-del\u00e0 des responsabilit\u00e9s inh\u00e9rentes \u00e0 la qualit\u00e9 de responsable de traitement, le RGPD implique de nouvelles responsabilit\u00e9s pour les experts-comptables. Tout d\u2019abord, ils voient leur responsabilit\u00e9 renforc\u00e9e en mati\u00e8re de devoir d\u2019information et de conseil, du fait de leur devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit offrir \u00e0 ses clients \u00ab des garanties suffisantes quant \u00e0 la mise en \u0153uvre de mesures techniques et organisationnelles appropri\u00e9es de mani\u00e8re \u00e0 ce que le traitement r\u00e9ponde aux exigences du pr\u00e9sent r\u00e8glement et garantisse la protection des droits de la personne concern\u00e9e \u00bb (Art.28 RGPD).<\/p>
        <\/p>
        Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        <\/p>\n
        Le RGPD a pour objectif de renforcer la protection des donn\u00e9es des personnes. C\u2019est pourquoi il est venu conf\u00e9rer \u00e0 ces derni\u00e8res un certain nombre de droits, notamment le droit d\u2019acc\u00e8s, de rectification, d\u2019opposition, d\u2019effacement, le droit \u00e0 la limitation du traitement, \u00e0 la portabilit\u00e9. C\u2019est au responsable de traitement qu\u2019il appartient de mettre en place les mesures visant \u00e0 faire respecter ces droits.<\/p>\n
        <\/p>\n
        <\/p>\n
        S\u00e9curiser les donn\u00e9es personnelles<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le responsable de traitement doit prendre les mesures n\u00e9cessaires afin de garantir la s\u00e9curisation des donn\u00e9es personnelles en r\u00e9duisant les risques de violations de donn\u00e9es en respectant notamment les principes suivants :<\/p>\n
        <\/p>\n
        <\/p>\n
        Le principe de confidentialit\u00e9 : les donn\u00e9es doivent \u00eatre accessibles aux seules personnes autoris\u00e9es<\/li>\n
        <\/p>\n
        Le principe d\u2019int\u00e9grit\u00e9 : les donn\u00e9es ne doivent pas \u00eatre alt\u00e9r\u00e9es ou modifi\u00e9es<\/li>\n
        <\/p>\n
        Le principe de disponibilit\u00e9 : les donn\u00e9es doivent \u00eatre en permanence accessibles aux personnes autoris\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Si un organisme subi une violation de donn\u00e9es, il doit proc\u00e9der \u00e0 un signalement \u00e0 la CNIL dans les 72 heures suivant la violation, si celle-ci est susceptible de repr\u00e9senter un risque pour les droits et libert\u00e9s des personnes concern\u00e9es.<\/p>\n
        <\/p>\n
        <\/p>\n
        Respecter le principe d\u2019accountability<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Ce principe d\u00e9signe l\u2019obligation pour les cabinets de mettre en \u0153uvre des m\u00e9canismes et des proc\u00e9dures internes permettant de d\u00e9montrer le respect des r\u00e8gles relatives \u00e0 la protection des donn\u00e9es.<\/p>\n
        <\/p>\n
        En cas de contr\u00f4le de la CNIL, la cabinet doit donc \u00eatre en mesure de d\u00e9montrer sa conformit\u00e9 au RGPD et les mesures prises \u00e0 cet effet.<\/p>\n
        <\/p>\n
        <\/p>\n
        R\u00e9vision des pratiques, contrats et lettre de mission rgpd expert-comptable<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Dans le cadre du processus de mise en conformit\u00e9, il est \u00e9galement n\u00e9cessaire de modifier tous les contrats de prestation et les lettres de mission du cabinet. L\u2019Ordre des experts comptables recommande en ce sens de revoir les contrats clients en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>\n
        <\/p>\n
        \u00c9galement, il est d\u00e9sormais exclu de communiquer des bulletins de paie par email. Il convient dor\u00e9navant d\u2019utiliser une plateforme<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quelles sont les nouvelles responsabilit\u00e9s qu\u2019implique le RGPD pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Au-del\u00e0 des responsabilit\u00e9s inh\u00e9rentes \u00e0 la qualit\u00e9 de responsable de traitement, le RGPD implique de nouvelles responsabilit\u00e9s pour les experts-comptables. Tout d\u2019abord, ils voient leur responsabilit\u00e9 renforc\u00e9e en mati\u00e8re de devoir d\u2019information et de conseil, du fait de leur devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit offrir \u00e0 ses clients \u00ab des garanties suffisantes quant \u00e0 la mise en \u0153uvre de mesures techniques et organisationnelles appropri\u00e9es de mani\u00e8re \u00e0 ce que le traitement r\u00e9ponde aux exigences du pr\u00e9sent r\u00e8glement et garantisse la protection des droits de la personne concern\u00e9e \u00bb (Art.28 RGPD).<\/p>
        <\/p>
        Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        <\/p>\n
        Respecter les droits des personnes. <\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le RGPD a pour objectif de renforcer la protection des donn\u00e9es des personnes. C\u2019est pourquoi il est venu conf\u00e9rer \u00e0 ces derni\u00e8res un certain nombre de droits, notamment le droit d\u2019acc\u00e8s, de rectification, d\u2019opposition, d\u2019effacement, le droit \u00e0 la limitation du traitement, \u00e0 la portabilit\u00e9. C\u2019est au responsable de traitement qu\u2019il appartient de mettre en place les mesures visant \u00e0 faire respecter ces droits.<\/p>\n
        <\/p>\n
        <\/p>\n
        S\u00e9curiser les donn\u00e9es personnelles<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le responsable de traitement doit prendre les mesures n\u00e9cessaires afin de garantir la s\u00e9curisation des donn\u00e9es personnelles en r\u00e9duisant les risques de violations de donn\u00e9es en respectant notamment les principes suivants :<\/p>\n
        <\/p>\n
        <\/p>\n
        Le principe de confidentialit\u00e9 : les donn\u00e9es doivent \u00eatre accessibles aux seules personnes autoris\u00e9es<\/li>\n
        <\/p>\n
        Le principe d\u2019int\u00e9grit\u00e9 : les donn\u00e9es ne doivent pas \u00eatre alt\u00e9r\u00e9es ou modifi\u00e9es<\/li>\n
        <\/p>\n
        Le principe de disponibilit\u00e9 : les donn\u00e9es doivent \u00eatre en permanence accessibles aux personnes autoris\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Si un organisme subi une violation de donn\u00e9es, il doit proc\u00e9der \u00e0 un signalement \u00e0 la CNIL dans les 72 heures suivant la violation, si celle-ci est susceptible de repr\u00e9senter un risque pour les droits et libert\u00e9s des personnes concern\u00e9es.<\/p>\n
        <\/p>\n
        <\/p>\n
        Respecter le principe d\u2019accountability<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Ce principe d\u00e9signe l\u2019obligation pour les cabinets de mettre en \u0153uvre des m\u00e9canismes et des proc\u00e9dures internes permettant de d\u00e9montrer le respect des r\u00e8gles relatives \u00e0 la protection des donn\u00e9es.<\/p>\n
        <\/p>\n
        En cas de contr\u00f4le de la CNIL, la cabinet doit donc \u00eatre en mesure de d\u00e9montrer sa conformit\u00e9 au RGPD et les mesures prises \u00e0 cet effet.<\/p>\n
        <\/p>\n
        <\/p>\n
        R\u00e9vision des pratiques, contrats et lettre de mission rgpd expert-comptable<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Dans le cadre du processus de mise en conformit\u00e9, il est \u00e9galement n\u00e9cessaire de modifier tous les contrats de prestation et les lettres de mission du cabinet. L\u2019Ordre des experts comptables recommande en ce sens de revoir les contrats clients en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>\n
        <\/p>\n
        \u00c9galement, il est d\u00e9sormais exclu de communiquer des bulletins de paie par email. Il convient dor\u00e9navant d\u2019utiliser une plateforme<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quelles sont les nouvelles responsabilit\u00e9s qu\u2019implique le RGPD pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Au-del\u00e0 des responsabilit\u00e9s inh\u00e9rentes \u00e0 la qualit\u00e9 de responsable de traitement, le RGPD implique de nouvelles responsabilit\u00e9s pour les experts-comptables. Tout d\u2019abord, ils voient leur responsabilit\u00e9 renforc\u00e9e en mati\u00e8re de devoir d\u2019information et de conseil, du fait de leur devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit offrir \u00e0 ses clients \u00ab des garanties suffisantes quant \u00e0 la mise en \u0153uvre de mesures techniques et organisationnelles appropri\u00e9es de mani\u00e8re \u00e0 ce que le traitement r\u00e9ponde aux exigences du pr\u00e9sent r\u00e8glement et garantisse la protection des droits de la personne concern\u00e9e \u00bb (Art.28 RGPD).<\/p>
        <\/p>
        Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        <\/p>\n
        les donn\u00e9es sont conserv\u00e9es uniquement le temps n\u00e9cessaire et\/ou r\u00e8glementaire ;<\/li>\n
        <\/p>\n
        Respecter les droits des personnes. <\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le RGPD a pour objectif de renforcer la protection des donn\u00e9es des personnes. C\u2019est pourquoi il est venu conf\u00e9rer \u00e0 ces derni\u00e8res un certain nombre de droits, notamment le droit d\u2019acc\u00e8s, de rectification, d\u2019opposition, d\u2019effacement, le droit \u00e0 la limitation du traitement, \u00e0 la portabilit\u00e9. C\u2019est au responsable de traitement qu\u2019il appartient de mettre en place les mesures visant \u00e0 faire respecter ces droits.<\/p>\n
        <\/p>\n
        <\/p>\n
        S\u00e9curiser les donn\u00e9es personnelles<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le responsable de traitement doit prendre les mesures n\u00e9cessaires afin de garantir la s\u00e9curisation des donn\u00e9es personnelles en r\u00e9duisant les risques de violations de donn\u00e9es en respectant notamment les principes suivants :<\/p>\n
        <\/p>\n
        <\/p>\n
        Le principe de confidentialit\u00e9 : les donn\u00e9es doivent \u00eatre accessibles aux seules personnes autoris\u00e9es<\/li>\n
        <\/p>\n
        Le principe d\u2019int\u00e9grit\u00e9 : les donn\u00e9es ne doivent pas \u00eatre alt\u00e9r\u00e9es ou modifi\u00e9es<\/li>\n
        <\/p>\n
        Le principe de disponibilit\u00e9 : les donn\u00e9es doivent \u00eatre en permanence accessibles aux personnes autoris\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Si un organisme subi une violation de donn\u00e9es, il doit proc\u00e9der \u00e0 un signalement \u00e0 la CNIL dans les 72 heures suivant la violation, si celle-ci est susceptible de repr\u00e9senter un risque pour les droits et libert\u00e9s des personnes concern\u00e9es.<\/p>\n
        <\/p>\n
        <\/p>\n
        Respecter le principe d\u2019accountability<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Ce principe d\u00e9signe l\u2019obligation pour les cabinets de mettre en \u0153uvre des m\u00e9canismes et des proc\u00e9dures internes permettant de d\u00e9montrer le respect des r\u00e8gles relatives \u00e0 la protection des donn\u00e9es.<\/p>\n
        <\/p>\n
        En cas de contr\u00f4le de la CNIL, la cabinet doit donc \u00eatre en mesure de d\u00e9montrer sa conformit\u00e9 au RGPD et les mesures prises \u00e0 cet effet.<\/p>\n
        <\/p>\n
        <\/p>\n
        R\u00e9vision des pratiques, contrats et lettre de mission rgpd expert-comptable<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Dans le cadre du processus de mise en conformit\u00e9, il est \u00e9galement n\u00e9cessaire de modifier tous les contrats de prestation et les lettres de mission du cabinet. L\u2019Ordre des experts comptables recommande en ce sens de revoir les contrats clients en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>\n
        <\/p>\n
        \u00c9galement, il est d\u00e9sormais exclu de communiquer des bulletins de paie par email. Il convient dor\u00e9navant d\u2019utiliser une plateforme<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quelles sont les nouvelles responsabilit\u00e9s qu\u2019implique le RGPD pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Au-del\u00e0 des responsabilit\u00e9s inh\u00e9rentes \u00e0 la qualit\u00e9 de responsable de traitement, le RGPD implique de nouvelles responsabilit\u00e9s pour les experts-comptables. Tout d\u2019abord, ils voient leur responsabilit\u00e9 renforc\u00e9e en mati\u00e8re de devoir d\u2019information et de conseil, du fait de leur devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit offrir \u00e0 ses clients \u00ab des garanties suffisantes quant \u00e0 la mise en \u0153uvre de mesures techniques et organisationnelles appropri\u00e9es de mani\u00e8re \u00e0 ce que le traitement r\u00e9ponde aux exigences du pr\u00e9sent r\u00e8glement et garantisse la protection des droits de la personne concern\u00e9e \u00bb (Art.28 RGPD).<\/p>
        <\/p>
        Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        <\/p>\n
        les donn\u00e9es sont accessibles uniquement aux personnes habilit\u00e9es ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont conserv\u00e9es uniquement le temps n\u00e9cessaire et\/ou r\u00e8glementaire ;<\/li>\n
        <\/p>\n
        Respecter les droits des personnes. <\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le RGPD a pour objectif de renforcer la protection des donn\u00e9es des personnes. C\u2019est pourquoi il est venu conf\u00e9rer \u00e0 ces derni\u00e8res un certain nombre de droits, notamment le droit d\u2019acc\u00e8s, de rectification, d\u2019opposition, d\u2019effacement, le droit \u00e0 la limitation du traitement, \u00e0 la portabilit\u00e9. C\u2019est au responsable de traitement qu\u2019il appartient de mettre en place les mesures visant \u00e0 faire respecter ces droits.<\/p>\n
        <\/p>\n
        <\/p>\n
        S\u00e9curiser les donn\u00e9es personnelles<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le responsable de traitement doit prendre les mesures n\u00e9cessaires afin de garantir la s\u00e9curisation des donn\u00e9es personnelles en r\u00e9duisant les risques de violations de donn\u00e9es en respectant notamment les principes suivants :<\/p>\n
        <\/p>\n
        <\/p>\n
        Le principe de confidentialit\u00e9 : les donn\u00e9es doivent \u00eatre accessibles aux seules personnes autoris\u00e9es<\/li>\n
        <\/p>\n
        Le principe d\u2019int\u00e9grit\u00e9 : les donn\u00e9es ne doivent pas \u00eatre alt\u00e9r\u00e9es ou modifi\u00e9es<\/li>\n
        <\/p>\n
        Le principe de disponibilit\u00e9 : les donn\u00e9es doivent \u00eatre en permanence accessibles aux personnes autoris\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Si un organisme subi une violation de donn\u00e9es, il doit proc\u00e9der \u00e0 un signalement \u00e0 la CNIL dans les 72 heures suivant la violation, si celle-ci est susceptible de repr\u00e9senter un risque pour les droits et libert\u00e9s des personnes concern\u00e9es.<\/p>\n
        <\/p>\n
        <\/p>\n
        Respecter le principe d\u2019accountability<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Ce principe d\u00e9signe l\u2019obligation pour les cabinets de mettre en \u0153uvre des m\u00e9canismes et des proc\u00e9dures internes permettant de d\u00e9montrer le respect des r\u00e8gles relatives \u00e0 la protection des donn\u00e9es.<\/p>\n
        <\/p>\n
        En cas de contr\u00f4le de la CNIL, la cabinet doit donc \u00eatre en mesure de d\u00e9montrer sa conformit\u00e9 au RGPD et les mesures prises \u00e0 cet effet.<\/p>\n
        <\/p>\n
        <\/p>\n
        R\u00e9vision des pratiques, contrats et lettre de mission rgpd expert-comptable<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Dans le cadre du processus de mise en conformit\u00e9, il est \u00e9galement n\u00e9cessaire de modifier tous les contrats de prestation et les lettres de mission du cabinet. L\u2019Ordre des experts comptables recommande en ce sens de revoir les contrats clients en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>\n
        <\/p>\n
        \u00c9galement, il est d\u00e9sormais exclu de communiquer des bulletins de paie par email. Il convient dor\u00e9navant d\u2019utiliser une plateforme<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quelles sont les nouvelles responsabilit\u00e9s qu\u2019implique le RGPD pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Au-del\u00e0 des responsabilit\u00e9s inh\u00e9rentes \u00e0 la qualit\u00e9 de responsable de traitement, le RGPD implique de nouvelles responsabilit\u00e9s pour les experts-comptables. Tout d\u2019abord, ils voient leur responsabilit\u00e9 renforc\u00e9e en mati\u00e8re de devoir d\u2019information et de conseil, du fait de leur devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit offrir \u00e0 ses clients \u00ab des garanties suffisantes quant \u00e0 la mise en \u0153uvre de mesures techniques et organisationnelles appropri\u00e9es de mani\u00e8re \u00e0 ce que le traitement r\u00e9ponde aux exigences du pr\u00e9sent r\u00e8glement et garantisse la protection des droits de la personne concern\u00e9e \u00bb (Art.28 RGPD).<\/p>
        <\/p>
        Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        <\/p>\n
        il ne s\u2019agit pas de donn\u00e9es dites \u00ab sensibles \u00bb, dans le cas contraire il convient de s\u2019assurer que le cabinet a bien le droit de les traiter ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont accessibles uniquement aux personnes habilit\u00e9es ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont conserv\u00e9es uniquement le temps n\u00e9cessaire et\/ou r\u00e8glementaire ;<\/li>\n
        <\/p>\n
        Respecter les droits des personnes. <\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le RGPD a pour objectif de renforcer la protection des donn\u00e9es des personnes. C\u2019est pourquoi il est venu conf\u00e9rer \u00e0 ces derni\u00e8res un certain nombre de droits, notamment le droit d\u2019acc\u00e8s, de rectification, d\u2019opposition, d\u2019effacement, le droit \u00e0 la limitation du traitement, \u00e0 la portabilit\u00e9. C\u2019est au responsable de traitement qu\u2019il appartient de mettre en place les mesures visant \u00e0 faire respecter ces droits.<\/p>\n
        <\/p>\n
        <\/p>\n
        S\u00e9curiser les donn\u00e9es personnelles<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le responsable de traitement doit prendre les mesures n\u00e9cessaires afin de garantir la s\u00e9curisation des donn\u00e9es personnelles en r\u00e9duisant les risques de violations de donn\u00e9es en respectant notamment les principes suivants :<\/p>\n
        <\/p>\n
        <\/p>\n
        Le principe de confidentialit\u00e9 : les donn\u00e9es doivent \u00eatre accessibles aux seules personnes autoris\u00e9es<\/li>\n
        <\/p>\n
        Le principe d\u2019int\u00e9grit\u00e9 : les donn\u00e9es ne doivent pas \u00eatre alt\u00e9r\u00e9es ou modifi\u00e9es<\/li>\n
        <\/p>\n
        Le principe de disponibilit\u00e9 : les donn\u00e9es doivent \u00eatre en permanence accessibles aux personnes autoris\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Si un organisme subi une violation de donn\u00e9es, il doit proc\u00e9der \u00e0 un signalement \u00e0 la CNIL dans les 72 heures suivant la violation, si celle-ci est susceptible de repr\u00e9senter un risque pour les droits et libert\u00e9s des personnes concern\u00e9es.<\/p>\n
        <\/p>\n
        <\/p>\n
        Respecter le principe d\u2019accountability<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Ce principe d\u00e9signe l\u2019obligation pour les cabinets de mettre en \u0153uvre des m\u00e9canismes et des proc\u00e9dures internes permettant de d\u00e9montrer le respect des r\u00e8gles relatives \u00e0 la protection des donn\u00e9es.<\/p>\n
        <\/p>\n
        En cas de contr\u00f4le de la CNIL, la cabinet doit donc \u00eatre en mesure de d\u00e9montrer sa conformit\u00e9 au RGPD et les mesures prises \u00e0 cet effet.<\/p>\n
        <\/p>\n
        <\/p>\n
        R\u00e9vision des pratiques, contrats et lettre de mission rgpd expert-comptable<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Dans le cadre du processus de mise en conformit\u00e9, il est \u00e9galement n\u00e9cessaire de modifier tous les contrats de prestation et les lettres de mission du cabinet. L\u2019Ordre des experts comptables recommande en ce sens de revoir les contrats clients en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>\n
        <\/p>\n
        \u00c9galement, il est d\u00e9sormais exclu de communiquer des bulletins de paie par email. Il convient dor\u00e9navant d\u2019utiliser une plateforme<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quelles sont les nouvelles responsabilit\u00e9s qu\u2019implique le RGPD pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Au-del\u00e0 des responsabilit\u00e9s inh\u00e9rentes \u00e0 la qualit\u00e9 de responsable de traitement, le RGPD implique de nouvelles responsabilit\u00e9s pour les experts-comptables. Tout d\u2019abord, ils voient leur responsabilit\u00e9 renforc\u00e9e en mati\u00e8re de devoir d\u2019information et de conseil, du fait de leur devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit offrir \u00e0 ses clients \u00ab des garanties suffisantes quant \u00e0 la mise en \u0153uvre de mesures techniques et organisationnelles appropri\u00e9es de mani\u00e8re \u00e0 ce que le traitement r\u00e9ponde aux exigences du pr\u00e9sent r\u00e8glement et garantisse la protection des droits de la personne concern\u00e9e \u00bb (Art.28 RGPD).<\/p>
        <\/p>
        Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        
        <\/p>\n
        elles sont n\u00e9cessaires \u00e0 l\u2019activit\u00e9 de l\u2019organisme ;<\/li>\n
        <\/p>\n
        il ne s\u2019agit pas de donn\u00e9es dites \u00ab sensibles \u00bb, dans le cas contraire il convient de s\u2019assurer que le cabinet a bien le droit de les traiter ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont accessibles uniquement aux personnes habilit\u00e9es ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont conserv\u00e9es uniquement le temps n\u00e9cessaire et\/ou r\u00e8glementaire ;<\/li>\n
        <\/p>\n
        Respecter les droits des personnes. <\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le RGPD a pour objectif de renforcer la protection des donn\u00e9es des personnes. C\u2019est pourquoi il est venu conf\u00e9rer \u00e0 ces derni\u00e8res un certain nombre de droits, notamment le droit d\u2019acc\u00e8s, de rectification, d\u2019opposition, d\u2019effacement, le droit \u00e0 la limitation du traitement, \u00e0 la portabilit\u00e9. C\u2019est au responsable de traitement qu\u2019il appartient de mettre en place les mesures visant \u00e0 faire respecter ces droits.<\/p>\n
        <\/p>\n
        <\/p>\n
        S\u00e9curiser les donn\u00e9es personnelles<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le responsable de traitement doit prendre les mesures n\u00e9cessaires afin de garantir la s\u00e9curisation des donn\u00e9es personnelles en r\u00e9duisant les risques de violations de donn\u00e9es en respectant notamment les principes suivants :<\/p>\n
        <\/p>\n
        <\/p>\n
        Le principe de confidentialit\u00e9 : les donn\u00e9es doivent \u00eatre accessibles aux seules personnes autoris\u00e9es<\/li>\n
        <\/p>\n
        Le principe d\u2019int\u00e9grit\u00e9 : les donn\u00e9es ne doivent pas \u00eatre alt\u00e9r\u00e9es ou modifi\u00e9es<\/li>\n
        <\/p>\n
        Le principe de disponibilit\u00e9 : les donn\u00e9es doivent \u00eatre en permanence accessibles aux personnes autoris\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Si un organisme subi une violation de donn\u00e9es, il doit proc\u00e9der \u00e0 un signalement \u00e0 la CNIL dans les 72 heures suivant la violation, si celle-ci est susceptible de repr\u00e9senter un risque pour les droits et libert\u00e9s des personnes concern\u00e9es.<\/p>\n
        <\/p>\n
        <\/p>\n
        Respecter le principe d\u2019accountability<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Ce principe d\u00e9signe l\u2019obligation pour les cabinets de mettre en \u0153uvre des m\u00e9canismes et des proc\u00e9dures internes permettant de d\u00e9montrer le respect des r\u00e8gles relatives \u00e0 la protection des donn\u00e9es.<\/p>\n
        <\/p>\n
        En cas de contr\u00f4le de la CNIL, la cabinet doit donc \u00eatre en mesure de d\u00e9montrer sa conformit\u00e9 au RGPD et les mesures prises \u00e0 cet effet.<\/p>\n
        <\/p>\n
        <\/p>\n
        R\u00e9vision des pratiques, contrats et lettre de mission rgpd expert-comptable<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Dans le cadre du processus de mise en conformit\u00e9, il est \u00e9galement n\u00e9cessaire de modifier tous les contrats de prestation et les lettres de mission du cabinet. L\u2019Ordre des experts comptables recommande en ce sens de revoir les contrats clients en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>\n
        <\/p>\n
        \u00c9galement, il est d\u00e9sormais exclu de communiquer des bulletins de paie par email. Il convient dor\u00e9navant d\u2019utiliser une plateforme<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quelles sont les nouvelles responsabilit\u00e9s qu\u2019implique le RGPD pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Au-del\u00e0 des responsabilit\u00e9s inh\u00e9rentes \u00e0 la qualit\u00e9 de responsable de traitement, le RGPD implique de nouvelles responsabilit\u00e9s pour les experts-comptables. Tout d\u2019abord, ils voient leur responsabilit\u00e9 renforc\u00e9e en mati\u00e8re de devoir d\u2019information et de conseil, du fait de leur devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit offrir \u00e0 ses clients \u00ab des garanties suffisantes quant \u00e0 la mise en \u0153uvre de mesures techniques et organisationnelles appropri\u00e9es de mani\u00e8re \u00e0 ce que le traitement r\u00e9ponde aux exigences du pr\u00e9sent r\u00e8glement et garantisse la protection des droits de la personne concern\u00e9e \u00bb (Art.28 RGPD).<\/p>
        <\/p>
        Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        <\/p>\n
        <\/p>\n
        elles sont n\u00e9cessaires \u00e0 l\u2019activit\u00e9 de l\u2019organisme ;<\/li>\n
        <\/p>\n
        il ne s\u2019agit pas de donn\u00e9es dites \u00ab sensibles \u00bb, dans le cas contraire il convient de s\u2019assurer que le cabinet a bien le droit de les traiter ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont accessibles uniquement aux personnes habilit\u00e9es ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont conserv\u00e9es uniquement le temps n\u00e9cessaire et\/ou r\u00e8glementaire ;<\/li>\n
        <\/p>\n
        Respecter les droits des personnes. <\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le RGPD a pour objectif de renforcer la protection des donn\u00e9es des personnes. C\u2019est pourquoi il est venu conf\u00e9rer \u00e0 ces derni\u00e8res un certain nombre de droits, notamment le droit d\u2019acc\u00e8s, de rectification, d\u2019opposition, d\u2019effacement, le droit \u00e0 la limitation du traitement, \u00e0 la portabilit\u00e9. C\u2019est au responsable de traitement qu\u2019il appartient de mettre en place les mesures visant \u00e0 faire respecter ces droits.<\/p>\n
        <\/p>\n
        <\/p>\n
        S\u00e9curiser les donn\u00e9es personnelles<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le responsable de traitement doit prendre les mesures n\u00e9cessaires afin de garantir la s\u00e9curisation des donn\u00e9es personnelles en r\u00e9duisant les risques de violations de donn\u00e9es en respectant notamment les principes suivants :<\/p>\n
        <\/p>\n
        <\/p>\n
        Le principe de confidentialit\u00e9 : les donn\u00e9es doivent \u00eatre accessibles aux seules personnes autoris\u00e9es<\/li>\n
        <\/p>\n
        Le principe d\u2019int\u00e9grit\u00e9 : les donn\u00e9es ne doivent pas \u00eatre alt\u00e9r\u00e9es ou modifi\u00e9es<\/li>\n
        <\/p>\n
        Le principe de disponibilit\u00e9 : les donn\u00e9es doivent \u00eatre en permanence accessibles aux personnes autoris\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Si un organisme subi une violation de donn\u00e9es, il doit proc\u00e9der \u00e0 un signalement \u00e0 la CNIL dans les 72 heures suivant la violation, si celle-ci est susceptible de repr\u00e9senter un risque pour les droits et libert\u00e9s des personnes concern\u00e9es.<\/p>\n
        <\/p>\n
        <\/p>\n
        Respecter le principe d\u2019accountability<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Ce principe d\u00e9signe l\u2019obligation pour les cabinets de mettre en \u0153uvre des m\u00e9canismes et des proc\u00e9dures internes permettant de d\u00e9montrer le respect des r\u00e8gles relatives \u00e0 la protection des donn\u00e9es.<\/p>\n
        <\/p>\n
        En cas de contr\u00f4le de la CNIL, la cabinet doit donc \u00eatre en mesure de d\u00e9montrer sa conformit\u00e9 au RGPD et les mesures prises \u00e0 cet effet.<\/p>\n
        <\/p>\n
        <\/p>\n
        R\u00e9vision des pratiques, contrats et lettre de mission rgpd expert-comptable<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Dans le cadre du processus de mise en conformit\u00e9, il est \u00e9galement n\u00e9cessaire de modifier tous les contrats de prestation et les lettres de mission du cabinet. L\u2019Ordre des experts comptables recommande en ce sens de revoir les contrats clients en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>\n
        <\/p>\n
        \u00c9galement, il est d\u00e9sormais exclu de communiquer des bulletins de paie par email. Il convient dor\u00e9navant d\u2019utiliser une plateforme<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quelles sont les nouvelles responsabilit\u00e9s qu\u2019implique le RGPD pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Au-del\u00e0 des responsabilit\u00e9s inh\u00e9rentes \u00e0 la qualit\u00e9 de responsable de traitement, le RGPD implique de nouvelles responsabilit\u00e9s pour les experts-comptables. Tout d\u2019abord, ils voient leur responsabilit\u00e9 renforc\u00e9e en mati\u00e8re de devoir d\u2019information et de conseil, du fait de leur devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit offrir \u00e0 ses clients \u00ab des garanties suffisantes quant \u00e0 la mise en \u0153uvre de mesures techniques et organisationnelles appropri\u00e9es de mani\u00e8re \u00e0 ce que le traitement r\u00e9ponde aux exigences du pr\u00e9sent r\u00e8glement et garantisse la protection des droits de la personne concern\u00e9e \u00bb (Art.28 RGPD).<\/p>
        <\/p>
        Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        <\/p>\n
        Le cabinet doit se limiter \u00e0 la collecte des donn\u00e9es strictement n\u00e9cessaires au traitement. C\u2019est le principe de minimisation des donn\u00e9es. Ainsi, les donn\u00e9es ne doivent \u00eatre trait\u00e9es que si :<\/p>\n
        <\/p>\n
        <\/p>\n
        elles sont n\u00e9cessaires \u00e0 l\u2019activit\u00e9 de l\u2019organisme ;<\/li>\n
        <\/p>\n
        il ne s\u2019agit pas de donn\u00e9es dites \u00ab sensibles \u00bb, dans le cas contraire il convient de s\u2019assurer que le cabinet a bien le droit de les traiter ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont accessibles uniquement aux personnes habilit\u00e9es ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont conserv\u00e9es uniquement le temps n\u00e9cessaire et\/ou r\u00e8glementaire ;<\/li>\n
        <\/p>\n
        Respecter les droits des personnes. <\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le RGPD a pour objectif de renforcer la protection des donn\u00e9es des personnes. C\u2019est pourquoi il est venu conf\u00e9rer \u00e0 ces derni\u00e8res un certain nombre de droits, notamment le droit d\u2019acc\u00e8s, de rectification, d\u2019opposition, d\u2019effacement, le droit \u00e0 la limitation du traitement, \u00e0 la portabilit\u00e9. C\u2019est au responsable de traitement qu\u2019il appartient de mettre en place les mesures visant \u00e0 faire respecter ces droits.<\/p>\n
        <\/p>\n
        <\/p>\n
        S\u00e9curiser les donn\u00e9es personnelles<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le responsable de traitement doit prendre les mesures n\u00e9cessaires afin de garantir la s\u00e9curisation des donn\u00e9es personnelles en r\u00e9duisant les risques de violations de donn\u00e9es en respectant notamment les principes suivants :<\/p>\n
        <\/p>\n
        <\/p>\n
        Le principe de confidentialit\u00e9 : les donn\u00e9es doivent \u00eatre accessibles aux seules personnes autoris\u00e9es<\/li>\n
        <\/p>\n
        Le principe d\u2019int\u00e9grit\u00e9 : les donn\u00e9es ne doivent pas \u00eatre alt\u00e9r\u00e9es ou modifi\u00e9es<\/li>\n
        <\/p>\n
        Le principe de disponibilit\u00e9 : les donn\u00e9es doivent \u00eatre en permanence accessibles aux personnes autoris\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Si un organisme subi une violation de donn\u00e9es, il doit proc\u00e9der \u00e0 un signalement \u00e0 la CNIL dans les 72 heures suivant la violation, si celle-ci est susceptible de repr\u00e9senter un risque pour les droits et libert\u00e9s des personnes concern\u00e9es.<\/p>\n
        <\/p>\n
        <\/p>\n
        Respecter le principe d\u2019accountability<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Ce principe d\u00e9signe l\u2019obligation pour les cabinets de mettre en \u0153uvre des m\u00e9canismes et des proc\u00e9dures internes permettant de d\u00e9montrer le respect des r\u00e8gles relatives \u00e0 la protection des donn\u00e9es.<\/p>\n
        <\/p>\n
        En cas de contr\u00f4le de la CNIL, la cabinet doit donc \u00eatre en mesure de d\u00e9montrer sa conformit\u00e9 au RGPD et les mesures prises \u00e0 cet effet.<\/p>\n
        <\/p>\n
        <\/p>\n
        R\u00e9vision des pratiques, contrats et lettre de mission rgpd expert-comptable<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Dans le cadre du processus de mise en conformit\u00e9, il est \u00e9galement n\u00e9cessaire de modifier tous les contrats de prestation et les lettres de mission du cabinet. L\u2019Ordre des experts comptables recommande en ce sens de revoir les contrats clients en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>\n
        <\/p>\n
        \u00c9galement, il est d\u00e9sormais exclu de communiquer des bulletins de paie par email. Il convient dor\u00e9navant d\u2019utiliser une plateforme<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quelles sont les nouvelles responsabilit\u00e9s qu\u2019implique le RGPD pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Au-del\u00e0 des responsabilit\u00e9s inh\u00e9rentes \u00e0 la qualit\u00e9 de responsable de traitement, le RGPD implique de nouvelles responsabilit\u00e9s pour les experts-comptables. Tout d\u2019abord, ils voient leur responsabilit\u00e9 renforc\u00e9e en mati\u00e8re de devoir d\u2019information et de conseil, du fait de leur devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit offrir \u00e0 ses clients \u00ab des garanties suffisantes quant \u00e0 la mise en \u0153uvre de mesures techniques et organisationnelles appropri\u00e9es de mani\u00e8re \u00e0 ce que le traitement r\u00e9ponde aux exigences du pr\u00e9sent r\u00e8glement et garantisse la protection des droits de la personne concern\u00e9e \u00bb (Art.28 RGPD).<\/p>
        <\/p>
        Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        
        <\/p>\n
        Trier les donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le cabinet doit se limiter \u00e0 la collecte des donn\u00e9es strictement n\u00e9cessaires au traitement. C\u2019est le principe de minimisation des donn\u00e9es. Ainsi, les donn\u00e9es ne doivent \u00eatre trait\u00e9es que si :<\/p>\n
        <\/p>\n
        <\/p>\n
        elles sont n\u00e9cessaires \u00e0 l\u2019activit\u00e9 de l\u2019organisme ;<\/li>\n
        <\/p>\n
        il ne s\u2019agit pas de donn\u00e9es dites \u00ab sensibles \u00bb, dans le cas contraire il convient de s\u2019assurer que le cabinet a bien le droit de les traiter ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont accessibles uniquement aux personnes habilit\u00e9es ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont conserv\u00e9es uniquement le temps n\u00e9cessaire et\/ou r\u00e8glementaire ;<\/li>\n
        <\/p>\n
        Respecter les droits des personnes. <\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le RGPD a pour objectif de renforcer la protection des donn\u00e9es des personnes. C\u2019est pourquoi il est venu conf\u00e9rer \u00e0 ces derni\u00e8res un certain nombre de droits, notamment le droit d\u2019acc\u00e8s, de rectification, d\u2019opposition, d\u2019effacement, le droit \u00e0 la limitation du traitement, \u00e0 la portabilit\u00e9. C\u2019est au responsable de traitement qu\u2019il appartient de mettre en place les mesures visant \u00e0 faire respecter ces droits.<\/p>\n
        <\/p>\n
        <\/p>\n
        S\u00e9curiser les donn\u00e9es personnelles<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le responsable de traitement doit prendre les mesures n\u00e9cessaires afin de garantir la s\u00e9curisation des donn\u00e9es personnelles en r\u00e9duisant les risques de violations de donn\u00e9es en respectant notamment les principes suivants :<\/p>\n
        <\/p>\n
        <\/p>\n
        Le principe de confidentialit\u00e9 : les donn\u00e9es doivent \u00eatre accessibles aux seules personnes autoris\u00e9es<\/li>\n
        <\/p>\n
        Le principe d\u2019int\u00e9grit\u00e9 : les donn\u00e9es ne doivent pas \u00eatre alt\u00e9r\u00e9es ou modifi\u00e9es<\/li>\n
        <\/p>\n
        Le principe de disponibilit\u00e9 : les donn\u00e9es doivent \u00eatre en permanence accessibles aux personnes autoris\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Si un organisme subi une violation de donn\u00e9es, il doit proc\u00e9der \u00e0 un signalement \u00e0 la CNIL dans les 72 heures suivant la violation, si celle-ci est susceptible de repr\u00e9senter un risque pour les droits et libert\u00e9s des personnes concern\u00e9es.<\/p>\n
        <\/p>\n
        <\/p>\n
        Respecter le principe d\u2019accountability<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Ce principe d\u00e9signe l\u2019obligation pour les cabinets de mettre en \u0153uvre des m\u00e9canismes et des proc\u00e9dures internes permettant de d\u00e9montrer le respect des r\u00e8gles relatives \u00e0 la protection des donn\u00e9es.<\/p>\n
        <\/p>\n
        En cas de contr\u00f4le de la CNIL, la cabinet doit donc \u00eatre en mesure de d\u00e9montrer sa conformit\u00e9 au RGPD et les mesures prises \u00e0 cet effet.<\/p>\n
        <\/p>\n
        <\/p>\n
        R\u00e9vision des pratiques, contrats et lettre de mission rgpd expert-comptable<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Dans le cadre du processus de mise en conformit\u00e9, il est \u00e9galement n\u00e9cessaire de modifier tous les contrats de prestation et les lettres de mission du cabinet. L\u2019Ordre des experts comptables recommande en ce sens de revoir les contrats clients en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>\n
        <\/p>\n
        \u00c9galement, il est d\u00e9sormais exclu de communiquer des bulletins de paie par email. Il convient dor\u00e9navant d\u2019utiliser une plateforme<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quelles sont les nouvelles responsabilit\u00e9s qu\u2019implique le RGPD pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Au-del\u00e0 des responsabilit\u00e9s inh\u00e9rentes \u00e0 la qualit\u00e9 de responsable de traitement, le RGPD implique de nouvelles responsabilit\u00e9s pour les experts-comptables. Tout d\u2019abord, ils voient leur responsabilit\u00e9 renforc\u00e9e en mati\u00e8re de devoir d\u2019information et de conseil, du fait de leur devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit offrir \u00e0 ses clients \u00ab des garanties suffisantes quant \u00e0 la mise en \u0153uvre de mesures techniques et organisationnelles appropri\u00e9es de mani\u00e8re \u00e0 ce que le traitement r\u00e9ponde aux exigences du pr\u00e9sent r\u00e8glement et garantisse la protection des droits de la personne concern\u00e9e \u00bb (Art.28 RGPD).<\/p>
        <\/p>
        Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        <\/p>\n
        <\/p>\n
        Trier les donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le cabinet doit se limiter \u00e0 la collecte des donn\u00e9es strictement n\u00e9cessaires au traitement. C\u2019est le principe de minimisation des donn\u00e9es. Ainsi, les donn\u00e9es ne doivent \u00eatre trait\u00e9es que si :<\/p>\n
        <\/p>\n
        <\/p>\n
        elles sont n\u00e9cessaires \u00e0 l\u2019activit\u00e9 de l\u2019organisme ;<\/li>\n
        <\/p>\n
        il ne s\u2019agit pas de donn\u00e9es dites \u00ab sensibles \u00bb, dans le cas contraire il convient de s\u2019assurer que le cabinet a bien le droit de les traiter ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont accessibles uniquement aux personnes habilit\u00e9es ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont conserv\u00e9es uniquement le temps n\u00e9cessaire et\/ou r\u00e8glementaire ;<\/li>\n
        <\/p>\n
        Respecter les droits des personnes. <\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le RGPD a pour objectif de renforcer la protection des donn\u00e9es des personnes. C\u2019est pourquoi il est venu conf\u00e9rer \u00e0 ces derni\u00e8res un certain nombre de droits, notamment le droit d\u2019acc\u00e8s, de rectification, d\u2019opposition, d\u2019effacement, le droit \u00e0 la limitation du traitement, \u00e0 la portabilit\u00e9. C\u2019est au responsable de traitement qu\u2019il appartient de mettre en place les mesures visant \u00e0 faire respecter ces droits.<\/p>\n
        <\/p>\n
        <\/p>\n
        S\u00e9curiser les donn\u00e9es personnelles<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le responsable de traitement doit prendre les mesures n\u00e9cessaires afin de garantir la s\u00e9curisation des donn\u00e9es personnelles en r\u00e9duisant les risques de violations de donn\u00e9es en respectant notamment les principes suivants :<\/p>\n
        <\/p>\n
        <\/p>\n
        Le principe de confidentialit\u00e9 : les donn\u00e9es doivent \u00eatre accessibles aux seules personnes autoris\u00e9es<\/li>\n
        <\/p>\n
        Le principe d\u2019int\u00e9grit\u00e9 : les donn\u00e9es ne doivent pas \u00eatre alt\u00e9r\u00e9es ou modifi\u00e9es<\/li>\n
        <\/p>\n
        Le principe de disponibilit\u00e9 : les donn\u00e9es doivent \u00eatre en permanence accessibles aux personnes autoris\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Si un organisme subi une violation de donn\u00e9es, il doit proc\u00e9der \u00e0 un signalement \u00e0 la CNIL dans les 72 heures suivant la violation, si celle-ci est susceptible de repr\u00e9senter un risque pour les droits et libert\u00e9s des personnes concern\u00e9es.<\/p>\n
        <\/p>\n
        <\/p>\n
        Respecter le principe d\u2019accountability<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Ce principe d\u00e9signe l\u2019obligation pour les cabinets de mettre en \u0153uvre des m\u00e9canismes et des proc\u00e9dures internes permettant de d\u00e9montrer le respect des r\u00e8gles relatives \u00e0 la protection des donn\u00e9es.<\/p>\n
        <\/p>\n
        En cas de contr\u00f4le de la CNIL, la cabinet doit donc \u00eatre en mesure de d\u00e9montrer sa conformit\u00e9 au RGPD et les mesures prises \u00e0 cet effet.<\/p>\n
        <\/p>\n
        <\/p>\n
        R\u00e9vision des pratiques, contrats et lettre de mission rgpd expert-comptable<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Dans le cadre du processus de mise en conformit\u00e9, il est \u00e9galement n\u00e9cessaire de modifier tous les contrats de prestation et les lettres de mission du cabinet. L\u2019Ordre des experts comptables recommande en ce sens de revoir les contrats clients en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>\n
        <\/p>\n
        \u00c9galement, il est d\u00e9sormais exclu de communiquer des bulletins de paie par email. Il convient dor\u00e9navant d\u2019utiliser une plateforme<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quelles sont les nouvelles responsabilit\u00e9s qu\u2019implique le RGPD pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Au-del\u00e0 des responsabilit\u00e9s inh\u00e9rentes \u00e0 la qualit\u00e9 de responsable de traitement, le RGPD implique de nouvelles responsabilit\u00e9s pour les experts-comptables. Tout d\u2019abord, ils voient leur responsabilit\u00e9 renforc\u00e9e en mati\u00e8re de devoir d\u2019information et de conseil, du fait de leur devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit offrir \u00e0 ses clients \u00ab des garanties suffisantes quant \u00e0 la mise en \u0153uvre de mesures techniques et organisationnelles appropri\u00e9es de mani\u00e8re \u00e0 ce que le traitement r\u00e9ponde aux exigences du pr\u00e9sent r\u00e8glement et garantisse la protection des droits de la personne concern\u00e9e \u00bb (Art.28 RGPD).<\/p>
        <\/p>
        Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        <\/p>\n
        A noter : Il est vivement conseill\u00e9 de confier la tenue du registre de traitements au d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es (DPD) \/ data protection officer (DPO) qui se chargera de sa mise \u00e0 jour r\u00e9guli\u00e8rement.<\/em><\/p>\n
        <\/p>\n
        <\/p>\n
        Trier les donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le cabinet doit se limiter \u00e0 la collecte des donn\u00e9es strictement n\u00e9cessaires au traitement. C\u2019est le principe de minimisation des donn\u00e9es. Ainsi, les donn\u00e9es ne doivent \u00eatre trait\u00e9es que si :<\/p>\n
        <\/p>\n
        <\/p>\n
        elles sont n\u00e9cessaires \u00e0 l\u2019activit\u00e9 de l\u2019organisme ;<\/li>\n
        <\/p>\n
        il ne s\u2019agit pas de donn\u00e9es dites \u00ab sensibles \u00bb, dans le cas contraire il convient de s\u2019assurer que le cabinet a bien le droit de les traiter ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont accessibles uniquement aux personnes habilit\u00e9es ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont conserv\u00e9es uniquement le temps n\u00e9cessaire et\/ou r\u00e8glementaire ;<\/li>\n
        <\/p>\n
        Respecter les droits des personnes. <\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le RGPD a pour objectif de renforcer la protection des donn\u00e9es des personnes. C\u2019est pourquoi il est venu conf\u00e9rer \u00e0 ces derni\u00e8res un certain nombre de droits, notamment le droit d\u2019acc\u00e8s, de rectification, d\u2019opposition, d\u2019effacement, le droit \u00e0 la limitation du traitement, \u00e0 la portabilit\u00e9. C\u2019est au responsable de traitement qu\u2019il appartient de mettre en place les mesures visant \u00e0 faire respecter ces droits.<\/p>\n
        <\/p>\n
        <\/p>\n
        S\u00e9curiser les donn\u00e9es personnelles<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le responsable de traitement doit prendre les mesures n\u00e9cessaires afin de garantir la s\u00e9curisation des donn\u00e9es personnelles en r\u00e9duisant les risques de violations de donn\u00e9es en respectant notamment les principes suivants :<\/p>\n
        <\/p>\n
        <\/p>\n
        Le principe de confidentialit\u00e9 : les donn\u00e9es doivent \u00eatre accessibles aux seules personnes autoris\u00e9es<\/li>\n
        <\/p>\n
        Le principe d\u2019int\u00e9grit\u00e9 : les donn\u00e9es ne doivent pas \u00eatre alt\u00e9r\u00e9es ou modifi\u00e9es<\/li>\n
        <\/p>\n
        Le principe de disponibilit\u00e9 : les donn\u00e9es doivent \u00eatre en permanence accessibles aux personnes autoris\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Si un organisme subi une violation de donn\u00e9es, il doit proc\u00e9der \u00e0 un signalement \u00e0 la CNIL dans les 72 heures suivant la violation, si celle-ci est susceptible de repr\u00e9senter un risque pour les droits et libert\u00e9s des personnes concern\u00e9es.<\/p>\n
        <\/p>\n
        <\/p>\n
        Respecter le principe d\u2019accountability<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Ce principe d\u00e9signe l\u2019obligation pour les cabinets de mettre en \u0153uvre des m\u00e9canismes et des proc\u00e9dures internes permettant de d\u00e9montrer le respect des r\u00e8gles relatives \u00e0 la protection des donn\u00e9es.<\/p>\n
        <\/p>\n
        En cas de contr\u00f4le de la CNIL, la cabinet doit donc \u00eatre en mesure de d\u00e9montrer sa conformit\u00e9 au RGPD et les mesures prises \u00e0 cet effet.<\/p>\n
        <\/p>\n
        <\/p>\n
        R\u00e9vision des pratiques, contrats et lettre de mission rgpd expert-comptable<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Dans le cadre du processus de mise en conformit\u00e9, il est \u00e9galement n\u00e9cessaire de modifier tous les contrats de prestation et les lettres de mission du cabinet. L\u2019Ordre des experts comptables recommande en ce sens de revoir les contrats clients en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>\n
        <\/p>\n
        \u00c9galement, il est d\u00e9sormais exclu de communiquer des bulletins de paie par email. Il convient dor\u00e9navant d\u2019utiliser une plateforme<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quelles sont les nouvelles responsabilit\u00e9s qu\u2019implique le RGPD pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Au-del\u00e0 des responsabilit\u00e9s inh\u00e9rentes \u00e0 la qualit\u00e9 de responsable de traitement, le RGPD implique de nouvelles responsabilit\u00e9s pour les experts-comptables. Tout d\u2019abord, ils voient leur responsabilit\u00e9 renforc\u00e9e en mati\u00e8re de devoir d\u2019information et de conseil, du fait de leur devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit offrir \u00e0 ses clients \u00ab des garanties suffisantes quant \u00e0 la mise en \u0153uvre de mesures techniques et organisationnelles appropri\u00e9es de mani\u00e8re \u00e0 ce que le traitement r\u00e9ponde aux exigences du pr\u00e9sent r\u00e8glement et garantisse la protection des droits de la personne concern\u00e9e \u00bb (Art.28 RGPD).<\/p>
        <\/p>
        Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        <\/p>\n
        Enfin, le registre doit \u00eatre mis \u00e0 jour r\u00e9guli\u00e8rement car les cabinets peuvent \u00eatre amen\u00e9s \u00e0 changer de logiciels, \u00e0 faire \u00e9voluer leur organisation interne ou \u00e0 changer de sous-traitants. La protection des donn\u00e9es doit donc \u00eatre continue.<\/p>\n
        <\/p>\n
        A noter : Il est vivement conseill\u00e9 de confier la tenue du registre de traitements au d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es (DPD) \/ data protection officer (DPO) qui se chargera de sa mise \u00e0 jour r\u00e9guli\u00e8rement.<\/em><\/p>\n
        <\/p>\n
        <\/p>\n
        Trier les donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le cabinet doit se limiter \u00e0 la collecte des donn\u00e9es strictement n\u00e9cessaires au traitement. C\u2019est le principe de minimisation des donn\u00e9es. Ainsi, les donn\u00e9es ne doivent \u00eatre trait\u00e9es que si :<\/p>\n
        <\/p>\n
        <\/p>\n
        elles sont n\u00e9cessaires \u00e0 l\u2019activit\u00e9 de l\u2019organisme ;<\/li>\n
        <\/p>\n
        il ne s\u2019agit pas de donn\u00e9es dites \u00ab sensibles \u00bb, dans le cas contraire il convient de s\u2019assurer que le cabinet a bien le droit de les traiter ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont accessibles uniquement aux personnes habilit\u00e9es ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont conserv\u00e9es uniquement le temps n\u00e9cessaire et\/ou r\u00e8glementaire ;<\/li>\n
        <\/p>\n
        Respecter les droits des personnes. <\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le RGPD a pour objectif de renforcer la protection des donn\u00e9es des personnes. C\u2019est pourquoi il est venu conf\u00e9rer \u00e0 ces derni\u00e8res un certain nombre de droits, notamment le droit d\u2019acc\u00e8s, de rectification, d\u2019opposition, d\u2019effacement, le droit \u00e0 la limitation du traitement, \u00e0 la portabilit\u00e9. C\u2019est au responsable de traitement qu\u2019il appartient de mettre en place les mesures visant \u00e0 faire respecter ces droits.<\/p>\n
        <\/p>\n
        <\/p>\n
        S\u00e9curiser les donn\u00e9es personnelles<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le responsable de traitement doit prendre les mesures n\u00e9cessaires afin de garantir la s\u00e9curisation des donn\u00e9es personnelles en r\u00e9duisant les risques de violations de donn\u00e9es en respectant notamment les principes suivants :<\/p>\n
        <\/p>\n
        <\/p>\n
        Le principe de confidentialit\u00e9 : les donn\u00e9es doivent \u00eatre accessibles aux seules personnes autoris\u00e9es<\/li>\n
        <\/p>\n
        Le principe d\u2019int\u00e9grit\u00e9 : les donn\u00e9es ne doivent pas \u00eatre alt\u00e9r\u00e9es ou modifi\u00e9es<\/li>\n
        <\/p>\n
        Le principe de disponibilit\u00e9 : les donn\u00e9es doivent \u00eatre en permanence accessibles aux personnes autoris\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Si un organisme subi une violation de donn\u00e9es, il doit proc\u00e9der \u00e0 un signalement \u00e0 la CNIL dans les 72 heures suivant la violation, si celle-ci est susceptible de repr\u00e9senter un risque pour les droits et libert\u00e9s des personnes concern\u00e9es.<\/p>\n
        <\/p>\n
        <\/p>\n
        Respecter le principe d\u2019accountability<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Ce principe d\u00e9signe l\u2019obligation pour les cabinets de mettre en \u0153uvre des m\u00e9canismes et des proc\u00e9dures internes permettant de d\u00e9montrer le respect des r\u00e8gles relatives \u00e0 la protection des donn\u00e9es.<\/p>\n
        <\/p>\n
        En cas de contr\u00f4le de la CNIL, la cabinet doit donc \u00eatre en mesure de d\u00e9montrer sa conformit\u00e9 au RGPD et les mesures prises \u00e0 cet effet.<\/p>\n
        <\/p>\n
        <\/p>\n
        R\u00e9vision des pratiques, contrats et lettre de mission rgpd expert-comptable<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Dans le cadre du processus de mise en conformit\u00e9, il est \u00e9galement n\u00e9cessaire de modifier tous les contrats de prestation et les lettres de mission du cabinet. L\u2019Ordre des experts comptables recommande en ce sens de revoir les contrats clients en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>\n
        <\/p>\n
        \u00c9galement, il est d\u00e9sormais exclu de communiquer des bulletins de paie par email. Il convient dor\u00e9navant d\u2019utiliser une plateforme<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quelles sont les nouvelles responsabilit\u00e9s qu\u2019implique le RGPD pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Au-del\u00e0 des responsabilit\u00e9s inh\u00e9rentes \u00e0 la qualit\u00e9 de responsable de traitement, le RGPD implique de nouvelles responsabilit\u00e9s pour les experts-comptables. Tout d\u2019abord, ils voient leur responsabilit\u00e9 renforc\u00e9e en mati\u00e8re de devoir d\u2019information et de conseil, du fait de leur devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit offrir \u00e0 ses clients \u00ab des garanties suffisantes quant \u00e0 la mise en \u0153uvre de mesures techniques et organisationnelles appropri\u00e9es de mani\u00e8re \u00e0 ce que le traitement r\u00e9ponde aux exigences du pr\u00e9sent r\u00e8glement et garantisse la protection des droits de la personne concern\u00e9e \u00bb (Art.28 RGPD).<\/p>
        <\/p>
        Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        <\/p>\n
        Il permet au cabinet d\u2019avoir une vision d\u2019ensemble sur les traitements de donn\u00e9es qu\u2019il r\u00e9alise. Le registre requiert de proc\u00e9der \u00e0 une identification des activit\u00e9s principales du cabinet ayant recours au traitement de donn\u00e9es personnelles, c\u2019est ce qu\u2019on appelle les traitements. L’expert-comptable responsable de traitement ou le sous-traitant doit ainsi proc\u00e9der \u00e0 la cr\u00e9ation d\u2019une fiche pour chaque traitement recens\u00e9, en indiquant notamment sa finalit\u00e9, c\u2019est-\u00e0-dire l\u2019objectif en vue duquel les donn\u00e9es sont trait\u00e9es par le cabinet.<\/p>\n
        <\/p>\n
        Enfin, le registre doit \u00eatre mis \u00e0 jour r\u00e9guli\u00e8rement car les cabinets peuvent \u00eatre amen\u00e9s \u00e0 changer de logiciels, \u00e0 faire \u00e9voluer leur organisation interne ou \u00e0 changer de sous-traitants. La protection des donn\u00e9es doit donc \u00eatre continue.<\/p>\n
        <\/p>\n
        A noter : Il est vivement conseill\u00e9 de confier la tenue du registre de traitements au d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es (DPD) \/ data protection officer (DPO) qui se chargera de sa mise \u00e0 jour r\u00e9guli\u00e8rement.<\/em><\/p>\n
        <\/p>\n
        <\/p>\n
        Trier les donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le cabinet doit se limiter \u00e0 la collecte des donn\u00e9es strictement n\u00e9cessaires au traitement. C\u2019est le principe de minimisation des donn\u00e9es. Ainsi, les donn\u00e9es ne doivent \u00eatre trait\u00e9es que si :<\/p>\n
        <\/p>\n
        <\/p>\n
        elles sont n\u00e9cessaires \u00e0 l\u2019activit\u00e9 de l\u2019organisme ;<\/li>\n
        <\/p>\n
        il ne s\u2019agit pas de donn\u00e9es dites \u00ab sensibles \u00bb, dans le cas contraire il convient de s\u2019assurer que le cabinet a bien le droit de les traiter ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont accessibles uniquement aux personnes habilit\u00e9es ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont conserv\u00e9es uniquement le temps n\u00e9cessaire et\/ou r\u00e8glementaire ;<\/li>\n
        <\/p>\n
        Respecter les droits des personnes. <\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le RGPD a pour objectif de renforcer la protection des donn\u00e9es des personnes. C\u2019est pourquoi il est venu conf\u00e9rer \u00e0 ces derni\u00e8res un certain nombre de droits, notamment le droit d\u2019acc\u00e8s, de rectification, d\u2019opposition, d\u2019effacement, le droit \u00e0 la limitation du traitement, \u00e0 la portabilit\u00e9. C\u2019est au responsable de traitement qu\u2019il appartient de mettre en place les mesures visant \u00e0 faire respecter ces droits.<\/p>\n
        <\/p>\n
        <\/p>\n
        S\u00e9curiser les donn\u00e9es personnelles<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le responsable de traitement doit prendre les mesures n\u00e9cessaires afin de garantir la s\u00e9curisation des donn\u00e9es personnelles en r\u00e9duisant les risques de violations de donn\u00e9es en respectant notamment les principes suivants :<\/p>\n
        <\/p>\n
        <\/p>\n
        Le principe de confidentialit\u00e9 : les donn\u00e9es doivent \u00eatre accessibles aux seules personnes autoris\u00e9es<\/li>\n
        <\/p>\n
        Le principe d\u2019int\u00e9grit\u00e9 : les donn\u00e9es ne doivent pas \u00eatre alt\u00e9r\u00e9es ou modifi\u00e9es<\/li>\n
        <\/p>\n
        Le principe de disponibilit\u00e9 : les donn\u00e9es doivent \u00eatre en permanence accessibles aux personnes autoris\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Si un organisme subi une violation de donn\u00e9es, il doit proc\u00e9der \u00e0 un signalement \u00e0 la CNIL dans les 72 heures suivant la violation, si celle-ci est susceptible de repr\u00e9senter un risque pour les droits et libert\u00e9s des personnes concern\u00e9es.<\/p>\n
        <\/p>\n
        <\/p>\n
        Respecter le principe d\u2019accountability<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Ce principe d\u00e9signe l\u2019obligation pour les cabinets de mettre en \u0153uvre des m\u00e9canismes et des proc\u00e9dures internes permettant de d\u00e9montrer le respect des r\u00e8gles relatives \u00e0 la protection des donn\u00e9es.<\/p>\n
        <\/p>\n
        En cas de contr\u00f4le de la CNIL, la cabinet doit donc \u00eatre en mesure de d\u00e9montrer sa conformit\u00e9 au RGPD et les mesures prises \u00e0 cet effet.<\/p>\n
        <\/p>\n
        <\/p>\n
        R\u00e9vision des pratiques, contrats et lettre de mission rgpd expert-comptable<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Dans le cadre du processus de mise en conformit\u00e9, il est \u00e9galement n\u00e9cessaire de modifier tous les contrats de prestation et les lettres de mission du cabinet. L\u2019Ordre des experts comptables recommande en ce sens de revoir les contrats clients en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>\n
        <\/p>\n
        \u00c9galement, il est d\u00e9sormais exclu de communiquer des bulletins de paie par email. Il convient dor\u00e9navant d\u2019utiliser une plateforme<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quelles sont les nouvelles responsabilit\u00e9s qu\u2019implique le RGPD pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Au-del\u00e0 des responsabilit\u00e9s inh\u00e9rentes \u00e0 la qualit\u00e9 de responsable de traitement, le RGPD implique de nouvelles responsabilit\u00e9s pour les experts-comptables. Tout d\u2019abord, ils voient leur responsabilit\u00e9 renforc\u00e9e en mati\u00e8re de devoir d\u2019information et de conseil, du fait de leur devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit offrir \u00e0 ses clients \u00ab des garanties suffisantes quant \u00e0 la mise en \u0153uvre de mesures techniques et organisationnelles appropri\u00e9es de mani\u00e8re \u00e0 ce que le traitement r\u00e9ponde aux exigences du pr\u00e9sent r\u00e8glement et garantisse la protection des droits de la personne concern\u00e9e \u00bb (Art.28 RGPD).<\/p>
        <\/p>
        Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        
        <\/p>\n
        Constituer un registre des traitements des donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Il permet au cabinet d\u2019avoir une vision d\u2019ensemble sur les traitements de donn\u00e9es qu\u2019il r\u00e9alise. Le registre requiert de proc\u00e9der \u00e0 une identification des activit\u00e9s principales du cabinet ayant recours au traitement de donn\u00e9es personnelles, c\u2019est ce qu\u2019on appelle les traitements. L’expert-comptable responsable de traitement ou le sous-traitant doit ainsi proc\u00e9der \u00e0 la cr\u00e9ation d\u2019une fiche pour chaque traitement recens\u00e9, en indiquant notamment sa finalit\u00e9, c\u2019est-\u00e0-dire l\u2019objectif en vue duquel les donn\u00e9es sont trait\u00e9es par le cabinet.<\/p>\n
        <\/p>\n
        Enfin, le registre doit \u00eatre mis \u00e0 jour r\u00e9guli\u00e8rement car les cabinets peuvent \u00eatre amen\u00e9s \u00e0 changer de logiciels, \u00e0 faire \u00e9voluer leur organisation interne ou \u00e0 changer de sous-traitants. La protection des donn\u00e9es doit donc \u00eatre continue.<\/p>\n
        <\/p>\n
        A noter : Il est vivement conseill\u00e9 de confier la tenue du registre de traitements au d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es (DPD) \/ data protection officer (DPO) qui se chargera de sa mise \u00e0 jour r\u00e9guli\u00e8rement.<\/em><\/p>\n
        <\/p>\n
        <\/p>\n
        Trier les donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le cabinet doit se limiter \u00e0 la collecte des donn\u00e9es strictement n\u00e9cessaires au traitement. C\u2019est le principe de minimisation des donn\u00e9es. Ainsi, les donn\u00e9es ne doivent \u00eatre trait\u00e9es que si :<\/p>\n
        <\/p>\n
        <\/p>\n
        elles sont n\u00e9cessaires \u00e0 l\u2019activit\u00e9 de l\u2019organisme ;<\/li>\n
        <\/p>\n
        il ne s\u2019agit pas de donn\u00e9es dites \u00ab sensibles \u00bb, dans le cas contraire il convient de s\u2019assurer que le cabinet a bien le droit de les traiter ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont accessibles uniquement aux personnes habilit\u00e9es ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont conserv\u00e9es uniquement le temps n\u00e9cessaire et\/ou r\u00e8glementaire ;<\/li>\n
        <\/p>\n
        Respecter les droits des personnes. <\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le RGPD a pour objectif de renforcer la protection des donn\u00e9es des personnes. C\u2019est pourquoi il est venu conf\u00e9rer \u00e0 ces derni\u00e8res un certain nombre de droits, notamment le droit d\u2019acc\u00e8s, de rectification, d\u2019opposition, d\u2019effacement, le droit \u00e0 la limitation du traitement, \u00e0 la portabilit\u00e9. C\u2019est au responsable de traitement qu\u2019il appartient de mettre en place les mesures visant \u00e0 faire respecter ces droits.<\/p>\n
        <\/p>\n
        <\/p>\n
        S\u00e9curiser les donn\u00e9es personnelles<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le responsable de traitement doit prendre les mesures n\u00e9cessaires afin de garantir la s\u00e9curisation des donn\u00e9es personnelles en r\u00e9duisant les risques de violations de donn\u00e9es en respectant notamment les principes suivants :<\/p>\n
        <\/p>\n
        <\/p>\n
        Le principe de confidentialit\u00e9 : les donn\u00e9es doivent \u00eatre accessibles aux seules personnes autoris\u00e9es<\/li>\n
        <\/p>\n
        Le principe d\u2019int\u00e9grit\u00e9 : les donn\u00e9es ne doivent pas \u00eatre alt\u00e9r\u00e9es ou modifi\u00e9es<\/li>\n
        <\/p>\n
        Le principe de disponibilit\u00e9 : les donn\u00e9es doivent \u00eatre en permanence accessibles aux personnes autoris\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Si un organisme subi une violation de donn\u00e9es, il doit proc\u00e9der \u00e0 un signalement \u00e0 la CNIL dans les 72 heures suivant la violation, si celle-ci est susceptible de repr\u00e9senter un risque pour les droits et libert\u00e9s des personnes concern\u00e9es.<\/p>\n
        <\/p>\n
        <\/p>\n
        Respecter le principe d\u2019accountability<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Ce principe d\u00e9signe l\u2019obligation pour les cabinets de mettre en \u0153uvre des m\u00e9canismes et des proc\u00e9dures internes permettant de d\u00e9montrer le respect des r\u00e8gles relatives \u00e0 la protection des donn\u00e9es.<\/p>\n
        <\/p>\n
        En cas de contr\u00f4le de la CNIL, la cabinet doit donc \u00eatre en mesure de d\u00e9montrer sa conformit\u00e9 au RGPD et les mesures prises \u00e0 cet effet.<\/p>\n
        <\/p>\n
        <\/p>\n
        R\u00e9vision des pratiques, contrats et lettre de mission rgpd expert-comptable<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Dans le cadre du processus de mise en conformit\u00e9, il est \u00e9galement n\u00e9cessaire de modifier tous les contrats de prestation et les lettres de mission du cabinet. L\u2019Ordre des experts comptables recommande en ce sens de revoir les contrats clients en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>\n
        <\/p>\n
        \u00c9galement, il est d\u00e9sormais exclu de communiquer des bulletins de paie par email. Il convient dor\u00e9navant d\u2019utiliser une plateforme<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quelles sont les nouvelles responsabilit\u00e9s qu\u2019implique le RGPD pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Au-del\u00e0 des responsabilit\u00e9s inh\u00e9rentes \u00e0 la qualit\u00e9 de responsable de traitement, le RGPD implique de nouvelles responsabilit\u00e9s pour les experts-comptables. Tout d\u2019abord, ils voient leur responsabilit\u00e9 renforc\u00e9e en mati\u00e8re de devoir d\u2019information et de conseil, du fait de leur devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit offrir \u00e0 ses clients \u00ab des garanties suffisantes quant \u00e0 la mise en \u0153uvre de mesures techniques et organisationnelles appropri\u00e9es de mani\u00e8re \u00e0 ce que le traitement r\u00e9ponde aux exigences du pr\u00e9sent r\u00e8glement et garantisse la protection des droits de la personne concern\u00e9e \u00bb (Art.28 RGPD).<\/p>
        <\/p>
        Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        <\/p>\n
        <\/p>\n
        Constituer un registre des traitements des donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Il permet au cabinet d\u2019avoir une vision d\u2019ensemble sur les traitements de donn\u00e9es qu\u2019il r\u00e9alise. Le registre requiert de proc\u00e9der \u00e0 une identification des activit\u00e9s principales du cabinet ayant recours au traitement de donn\u00e9es personnelles, c\u2019est ce qu\u2019on appelle les traitements. L’expert-comptable responsable de traitement ou le sous-traitant doit ainsi proc\u00e9der \u00e0 la cr\u00e9ation d\u2019une fiche pour chaque traitement recens\u00e9, en indiquant notamment sa finalit\u00e9, c\u2019est-\u00e0-dire l\u2019objectif en vue duquel les donn\u00e9es sont trait\u00e9es par le cabinet.<\/p>\n
        <\/p>\n
        Enfin, le registre doit \u00eatre mis \u00e0 jour r\u00e9guli\u00e8rement car les cabinets peuvent \u00eatre amen\u00e9s \u00e0 changer de logiciels, \u00e0 faire \u00e9voluer leur organisation interne ou \u00e0 changer de sous-traitants. La protection des donn\u00e9es doit donc \u00eatre continue.<\/p>\n
        <\/p>\n
        A noter : Il est vivement conseill\u00e9 de confier la tenue du registre de traitements au d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es (DPD) \/ data protection officer (DPO) qui se chargera de sa mise \u00e0 jour r\u00e9guli\u00e8rement.<\/em><\/p>\n
        <\/p>\n
        <\/p>\n
        Trier les donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le cabinet doit se limiter \u00e0 la collecte des donn\u00e9es strictement n\u00e9cessaires au traitement. C\u2019est le principe de minimisation des donn\u00e9es. Ainsi, les donn\u00e9es ne doivent \u00eatre trait\u00e9es que si :<\/p>\n
        <\/p>\n
        <\/p>\n
        elles sont n\u00e9cessaires \u00e0 l\u2019activit\u00e9 de l\u2019organisme ;<\/li>\n
        <\/p>\n
        il ne s\u2019agit pas de donn\u00e9es dites \u00ab sensibles \u00bb, dans le cas contraire il convient de s\u2019assurer que le cabinet a bien le droit de les traiter ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont accessibles uniquement aux personnes habilit\u00e9es ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont conserv\u00e9es uniquement le temps n\u00e9cessaire et\/ou r\u00e8glementaire ;<\/li>\n
        <\/p>\n
        Respecter les droits des personnes. <\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le RGPD a pour objectif de renforcer la protection des donn\u00e9es des personnes. C\u2019est pourquoi il est venu conf\u00e9rer \u00e0 ces derni\u00e8res un certain nombre de droits, notamment le droit d\u2019acc\u00e8s, de rectification, d\u2019opposition, d\u2019effacement, le droit \u00e0 la limitation du traitement, \u00e0 la portabilit\u00e9. C\u2019est au responsable de traitement qu\u2019il appartient de mettre en place les mesures visant \u00e0 faire respecter ces droits.<\/p>\n
        <\/p>\n
        <\/p>\n
        S\u00e9curiser les donn\u00e9es personnelles<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le responsable de traitement doit prendre les mesures n\u00e9cessaires afin de garantir la s\u00e9curisation des donn\u00e9es personnelles en r\u00e9duisant les risques de violations de donn\u00e9es en respectant notamment les principes suivants :<\/p>\n
        <\/p>\n
        <\/p>\n
        Le principe de confidentialit\u00e9 : les donn\u00e9es doivent \u00eatre accessibles aux seules personnes autoris\u00e9es<\/li>\n
        <\/p>\n
        Le principe d\u2019int\u00e9grit\u00e9 : les donn\u00e9es ne doivent pas \u00eatre alt\u00e9r\u00e9es ou modifi\u00e9es<\/li>\n
        <\/p>\n
        Le principe de disponibilit\u00e9 : les donn\u00e9es doivent \u00eatre en permanence accessibles aux personnes autoris\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Si un organisme subi une violation de donn\u00e9es, il doit proc\u00e9der \u00e0 un signalement \u00e0 la CNIL dans les 72 heures suivant la violation, si celle-ci est susceptible de repr\u00e9senter un risque pour les droits et libert\u00e9s des personnes concern\u00e9es.<\/p>\n
        <\/p>\n
        <\/p>\n
        Respecter le principe d\u2019accountability<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Ce principe d\u00e9signe l\u2019obligation pour les cabinets de mettre en \u0153uvre des m\u00e9canismes et des proc\u00e9dures internes permettant de d\u00e9montrer le respect des r\u00e8gles relatives \u00e0 la protection des donn\u00e9es.<\/p>\n
        <\/p>\n
        En cas de contr\u00f4le de la CNIL, la cabinet doit donc \u00eatre en mesure de d\u00e9montrer sa conformit\u00e9 au RGPD et les mesures prises \u00e0 cet effet.<\/p>\n
        <\/p>\n
        <\/p>\n
        R\u00e9vision des pratiques, contrats et lettre de mission rgpd expert-comptable<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Dans le cadre du processus de mise en conformit\u00e9, il est \u00e9galement n\u00e9cessaire de modifier tous les contrats de prestation et les lettres de mission du cabinet. L\u2019Ordre des experts comptables recommande en ce sens de revoir les contrats clients en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>\n
        <\/p>\n
        \u00c9galement, il est d\u00e9sormais exclu de communiquer des bulletins de paie par email. Il convient dor\u00e9navant d\u2019utiliser une plateforme<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quelles sont les nouvelles responsabilit\u00e9s qu\u2019implique le RGPD pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Au-del\u00e0 des responsabilit\u00e9s inh\u00e9rentes \u00e0 la qualit\u00e9 de responsable de traitement, le RGPD implique de nouvelles responsabilit\u00e9s pour les experts-comptables. Tout d\u2019abord, ils voient leur responsabilit\u00e9 renforc\u00e9e en mati\u00e8re de devoir d\u2019information et de conseil, du fait de leur devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit offrir \u00e0 ses clients \u00ab des garanties suffisantes quant \u00e0 la mise en \u0153uvre de mesures techniques et organisationnelles appropri\u00e9es de mani\u00e8re \u00e0 ce que le traitement r\u00e9ponde aux exigences du pr\u00e9sent r\u00e8glement et garantisse la protection des droits de la personne concern\u00e9e \u00bb (Art.28 RGPD).<\/p>
        <\/p>
        Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        <\/p>\n
        Le processus de mise en conformit\u00e9 au RGPD implique de respecter la mise en \u0153uvre de plusieurs mesures, notamment :<\/p>\n
        <\/p>\n
        <\/p>\n
        Constituer un registre des traitements des donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Il permet au cabinet d\u2019avoir une vision d\u2019ensemble sur les traitements de donn\u00e9es qu\u2019il r\u00e9alise. Le registre requiert de proc\u00e9der \u00e0 une identification des activit\u00e9s principales du cabinet ayant recours au traitement de donn\u00e9es personnelles, c\u2019est ce qu\u2019on appelle les traitements. L’expert-comptable responsable de traitement ou le sous-traitant doit ainsi proc\u00e9der \u00e0 la cr\u00e9ation d\u2019une fiche pour chaque traitement recens\u00e9, en indiquant notamment sa finalit\u00e9, c\u2019est-\u00e0-dire l\u2019objectif en vue duquel les donn\u00e9es sont trait\u00e9es par le cabinet.<\/p>\n
        <\/p>\n
        Enfin, le registre doit \u00eatre mis \u00e0 jour r\u00e9guli\u00e8rement car les cabinets peuvent \u00eatre amen\u00e9s \u00e0 changer de logiciels, \u00e0 faire \u00e9voluer leur organisation interne ou \u00e0 changer de sous-traitants. La protection des donn\u00e9es doit donc \u00eatre continue.<\/p>\n
        <\/p>\n
        A noter : Il est vivement conseill\u00e9 de confier la tenue du registre de traitements au d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es (DPD) \/ data protection officer (DPO) qui se chargera de sa mise \u00e0 jour r\u00e9guli\u00e8rement.<\/em><\/p>\n
        <\/p>\n
        <\/p>\n
        Trier les donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le cabinet doit se limiter \u00e0 la collecte des donn\u00e9es strictement n\u00e9cessaires au traitement. C\u2019est le principe de minimisation des donn\u00e9es. Ainsi, les donn\u00e9es ne doivent \u00eatre trait\u00e9es que si :<\/p>\n
        <\/p>\n
        <\/p>\n
        elles sont n\u00e9cessaires \u00e0 l\u2019activit\u00e9 de l\u2019organisme ;<\/li>\n
        <\/p>\n
        il ne s\u2019agit pas de donn\u00e9es dites \u00ab sensibles \u00bb, dans le cas contraire il convient de s\u2019assurer que le cabinet a bien le droit de les traiter ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont accessibles uniquement aux personnes habilit\u00e9es ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont conserv\u00e9es uniquement le temps n\u00e9cessaire et\/ou r\u00e8glementaire ;<\/li>\n
        <\/p>\n
        Respecter les droits des personnes. <\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le RGPD a pour objectif de renforcer la protection des donn\u00e9es des personnes. C\u2019est pourquoi il est venu conf\u00e9rer \u00e0 ces derni\u00e8res un certain nombre de droits, notamment le droit d\u2019acc\u00e8s, de rectification, d\u2019opposition, d\u2019effacement, le droit \u00e0 la limitation du traitement, \u00e0 la portabilit\u00e9. C\u2019est au responsable de traitement qu\u2019il appartient de mettre en place les mesures visant \u00e0 faire respecter ces droits.<\/p>\n
        <\/p>\n
        <\/p>\n
        S\u00e9curiser les donn\u00e9es personnelles<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le responsable de traitement doit prendre les mesures n\u00e9cessaires afin de garantir la s\u00e9curisation des donn\u00e9es personnelles en r\u00e9duisant les risques de violations de donn\u00e9es en respectant notamment les principes suivants :<\/p>\n
        <\/p>\n
        <\/p>\n
        Le principe de confidentialit\u00e9 : les donn\u00e9es doivent \u00eatre accessibles aux seules personnes autoris\u00e9es<\/li>\n
        <\/p>\n
        Le principe d\u2019int\u00e9grit\u00e9 : les donn\u00e9es ne doivent pas \u00eatre alt\u00e9r\u00e9es ou modifi\u00e9es<\/li>\n
        <\/p>\n
        Le principe de disponibilit\u00e9 : les donn\u00e9es doivent \u00eatre en permanence accessibles aux personnes autoris\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Si un organisme subi une violation de donn\u00e9es, il doit proc\u00e9der \u00e0 un signalement \u00e0 la CNIL dans les 72 heures suivant la violation, si celle-ci est susceptible de repr\u00e9senter un risque pour les droits et libert\u00e9s des personnes concern\u00e9es.<\/p>\n
        <\/p>\n
        <\/p>\n
        Respecter le principe d\u2019accountability<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Ce principe d\u00e9signe l\u2019obligation pour les cabinets de mettre en \u0153uvre des m\u00e9canismes et des proc\u00e9dures internes permettant de d\u00e9montrer le respect des r\u00e8gles relatives \u00e0 la protection des donn\u00e9es.<\/p>\n
        <\/p>\n
        En cas de contr\u00f4le de la CNIL, la cabinet doit donc \u00eatre en mesure de d\u00e9montrer sa conformit\u00e9 au RGPD et les mesures prises \u00e0 cet effet.<\/p>\n
        <\/p>\n
        <\/p>\n
        R\u00e9vision des pratiques, contrats et lettre de mission rgpd expert-comptable<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Dans le cadre du processus de mise en conformit\u00e9, il est \u00e9galement n\u00e9cessaire de modifier tous les contrats de prestation et les lettres de mission du cabinet. L\u2019Ordre des experts comptables recommande en ce sens de revoir les contrats clients en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>\n
        <\/p>\n
        \u00c9galement, il est d\u00e9sormais exclu de communiquer des bulletins de paie par email. Il convient dor\u00e9navant d\u2019utiliser une plateforme<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quelles sont les nouvelles responsabilit\u00e9s qu\u2019implique le RGPD pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Au-del\u00e0 des responsabilit\u00e9s inh\u00e9rentes \u00e0 la qualit\u00e9 de responsable de traitement, le RGPD implique de nouvelles responsabilit\u00e9s pour les experts-comptables. Tout d\u2019abord, ils voient leur responsabilit\u00e9 renforc\u00e9e en mati\u00e8re de devoir d\u2019information et de conseil, du fait de leur devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit offrir \u00e0 ses clients \u00ab des garanties suffisantes quant \u00e0 la mise en \u0153uvre de mesures techniques et organisationnelles appropri\u00e9es de mani\u00e8re \u00e0 ce que le traitement r\u00e9ponde aux exigences du pr\u00e9sent r\u00e8glement et garantisse la protection des droits de la personne concern\u00e9e \u00bb (Art.28 RGPD).<\/p>
        <\/p>
        Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        <\/p>
        C’est dans ce contexte que l’expert-comptable est amen\u00e9 \u00e0 la fois \u00e0 alerter ses clients sur leur conformit\u00e9 RGPD et \u00e0 leur proposer des prestations de service relatives \u00e0 la mise en conformit\u00e9 RGPD.<\/p>
        <\/p>"}},{"@type":"Question","name":"Qu\u2019implique la mise en conformit\u00e9 au RGPD pour le cabinet d\u2019expertise comptable ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>\n
        Le processus de mise en conformit\u00e9 au RGPD implique de respecter la mise en \u0153uvre de plusieurs mesures, notamment :<\/p>\n
        <\/p>\n
        <\/p>\n
        Constituer un registre des traitements des donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Il permet au cabinet d\u2019avoir une vision d\u2019ensemble sur les traitements de donn\u00e9es qu\u2019il r\u00e9alise. Le registre requiert de proc\u00e9der \u00e0 une identification des activit\u00e9s principales du cabinet ayant recours au traitement de donn\u00e9es personnelles, c\u2019est ce qu\u2019on appelle les traitements. L’expert-comptable responsable de traitement ou le sous-traitant doit ainsi proc\u00e9der \u00e0 la cr\u00e9ation d\u2019une fiche pour chaque traitement recens\u00e9, en indiquant notamment sa finalit\u00e9, c\u2019est-\u00e0-dire l\u2019objectif en vue duquel les donn\u00e9es sont trait\u00e9es par le cabinet.<\/p>\n
        <\/p>\n
        Enfin, le registre doit \u00eatre mis \u00e0 jour r\u00e9guli\u00e8rement car les cabinets peuvent \u00eatre amen\u00e9s \u00e0 changer de logiciels, \u00e0 faire \u00e9voluer leur organisation interne ou \u00e0 changer de sous-traitants. La protection des donn\u00e9es doit donc \u00eatre continue.<\/p>\n
        <\/p>\n
        A noter : Il est vivement conseill\u00e9 de confier la tenue du registre de traitements au d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es (DPD) \/ data protection officer (DPO) qui se chargera de sa mise \u00e0 jour r\u00e9guli\u00e8rement.<\/em><\/p>\n
        <\/p>\n
        <\/p>\n
        Trier les donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le cabinet doit se limiter \u00e0 la collecte des donn\u00e9es strictement n\u00e9cessaires au traitement. C\u2019est le principe de minimisation des donn\u00e9es. Ainsi, les donn\u00e9es ne doivent \u00eatre trait\u00e9es que si :<\/p>\n
        <\/p>\n
        <\/p>\n
        elles sont n\u00e9cessaires \u00e0 l\u2019activit\u00e9 de l\u2019organisme ;<\/li>\n
        <\/p>\n
        il ne s\u2019agit pas de donn\u00e9es dites \u00ab sensibles \u00bb, dans le cas contraire il convient de s\u2019assurer que le cabinet a bien le droit de les traiter ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont accessibles uniquement aux personnes habilit\u00e9es ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont conserv\u00e9es uniquement le temps n\u00e9cessaire et\/ou r\u00e8glementaire ;<\/li>\n
        <\/p>\n
        Respecter les droits des personnes. <\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le RGPD a pour objectif de renforcer la protection des donn\u00e9es des personnes. C\u2019est pourquoi il est venu conf\u00e9rer \u00e0 ces derni\u00e8res un certain nombre de droits, notamment le droit d\u2019acc\u00e8s, de rectification, d\u2019opposition, d\u2019effacement, le droit \u00e0 la limitation du traitement, \u00e0 la portabilit\u00e9. C\u2019est au responsable de traitement qu\u2019il appartient de mettre en place les mesures visant \u00e0 faire respecter ces droits.<\/p>\n
        <\/p>\n
        <\/p>\n
        S\u00e9curiser les donn\u00e9es personnelles<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le responsable de traitement doit prendre les mesures n\u00e9cessaires afin de garantir la s\u00e9curisation des donn\u00e9es personnelles en r\u00e9duisant les risques de violations de donn\u00e9es en respectant notamment les principes suivants :<\/p>\n
        <\/p>\n
        <\/p>\n
        Le principe de confidentialit\u00e9 : les donn\u00e9es doivent \u00eatre accessibles aux seules personnes autoris\u00e9es<\/li>\n
        <\/p>\n
        Le principe d\u2019int\u00e9grit\u00e9 : les donn\u00e9es ne doivent pas \u00eatre alt\u00e9r\u00e9es ou modifi\u00e9es<\/li>\n
        <\/p>\n
        Le principe de disponibilit\u00e9 : les donn\u00e9es doivent \u00eatre en permanence accessibles aux personnes autoris\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Si un organisme subi une violation de donn\u00e9es, il doit proc\u00e9der \u00e0 un signalement \u00e0 la CNIL dans les 72 heures suivant la violation, si celle-ci est susceptible de repr\u00e9senter un risque pour les droits et libert\u00e9s des personnes concern\u00e9es.<\/p>\n
        <\/p>\n
        <\/p>\n
        Respecter le principe d\u2019accountability<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Ce principe d\u00e9signe l\u2019obligation pour les cabinets de mettre en \u0153uvre des m\u00e9canismes et des proc\u00e9dures internes permettant de d\u00e9montrer le respect des r\u00e8gles relatives \u00e0 la protection des donn\u00e9es.<\/p>\n
        <\/p>\n
        En cas de contr\u00f4le de la CNIL, la cabinet doit donc \u00eatre en mesure de d\u00e9montrer sa conformit\u00e9 au RGPD et les mesures prises \u00e0 cet effet.<\/p>\n
        <\/p>\n
        <\/p>\n
        R\u00e9vision des pratiques, contrats et lettre de mission rgpd expert-comptable<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Dans le cadre du processus de mise en conformit\u00e9, il est \u00e9galement n\u00e9cessaire de modifier tous les contrats de prestation et les lettres de mission du cabinet. L\u2019Ordre des experts comptables recommande en ce sens de revoir les contrats clients en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>\n
        <\/p>\n
        \u00c9galement, il est d\u00e9sormais exclu de communiquer des bulletins de paie par email. Il convient dor\u00e9navant d\u2019utiliser une plateforme<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quelles sont les nouvelles responsabilit\u00e9s qu\u2019implique le RGPD pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Au-del\u00e0 des responsabilit\u00e9s inh\u00e9rentes \u00e0 la qualit\u00e9 de responsable de traitement, le RGPD implique de nouvelles responsabilit\u00e9s pour les experts-comptables. Tout d\u2019abord, ils voient leur responsabilit\u00e9 renforc\u00e9e en mati\u00e8re de devoir d\u2019information et de conseil, du fait de leur devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit offrir \u00e0 ses clients \u00ab des garanties suffisantes quant \u00e0 la mise en \u0153uvre de mesures techniques et organisationnelles appropri\u00e9es de mani\u00e8re \u00e0 ce que le traitement r\u00e9ponde aux exigences du pr\u00e9sent r\u00e8glement et garantisse la protection des droits de la personne concern\u00e9e \u00bb (Art.28 RGPD).<\/p>
        <\/p>
        Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        <\/p>
        En effet, les experts-comptables ont une connaissance approfondie des risques li\u00e9s \u00e0 l\u2019activit\u00e9 de leurs clients et ils constituent un interlocuteur privil\u00e9gi\u00e9 pour r\u00e9pondre aux besoins de mise en conformit\u00e9 de ces derniers. Le CSOEC estime ainsi que \u00ab Les experts-comptables sont comp\u00e9tents en mati\u00e8re de protection des donn\u00e9es personnelles d\u00e8s lors qu\u2019ils ont d\u00e9j\u00e0 mis en place les obligations impos\u00e9es par le RGPD au sein de leurs cabinets. Ils peuvent donc proposer une mission dans laquelle ils accompagnent leurs entreprises clientes \u00e0 mettre en place le RGPD \u00bb.<\/p>
        <\/p>
        C’est dans ce contexte que l’expert-comptable est amen\u00e9 \u00e0 la fois \u00e0 alerter ses clients sur leur conformit\u00e9 RGPD et \u00e0 leur proposer des prestations de service relatives \u00e0 la mise en conformit\u00e9 RGPD.<\/p>
        <\/p>"}},{"@type":"Question","name":"Qu\u2019implique la mise en conformit\u00e9 au RGPD pour le cabinet d\u2019expertise comptable ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>\n
        Le processus de mise en conformit\u00e9 au RGPD implique de respecter la mise en \u0153uvre de plusieurs mesures, notamment :<\/p>\n
        <\/p>\n
        <\/p>\n
        Constituer un registre des traitements des donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Il permet au cabinet d\u2019avoir une vision d\u2019ensemble sur les traitements de donn\u00e9es qu\u2019il r\u00e9alise. Le registre requiert de proc\u00e9der \u00e0 une identification des activit\u00e9s principales du cabinet ayant recours au traitement de donn\u00e9es personnelles, c\u2019est ce qu\u2019on appelle les traitements. L’expert-comptable responsable de traitement ou le sous-traitant doit ainsi proc\u00e9der \u00e0 la cr\u00e9ation d\u2019une fiche pour chaque traitement recens\u00e9, en indiquant notamment sa finalit\u00e9, c\u2019est-\u00e0-dire l\u2019objectif en vue duquel les donn\u00e9es sont trait\u00e9es par le cabinet.<\/p>\n
        <\/p>\n
        Enfin, le registre doit \u00eatre mis \u00e0 jour r\u00e9guli\u00e8rement car les cabinets peuvent \u00eatre amen\u00e9s \u00e0 changer de logiciels, \u00e0 faire \u00e9voluer leur organisation interne ou \u00e0 changer de sous-traitants. La protection des donn\u00e9es doit donc \u00eatre continue.<\/p>\n
        <\/p>\n
        A noter : Il est vivement conseill\u00e9 de confier la tenue du registre de traitements au d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es (DPD) \/ data protection officer (DPO) qui se chargera de sa mise \u00e0 jour r\u00e9guli\u00e8rement.<\/em><\/p>\n
        <\/p>\n
        <\/p>\n
        Trier les donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le cabinet doit se limiter \u00e0 la collecte des donn\u00e9es strictement n\u00e9cessaires au traitement. C\u2019est le principe de minimisation des donn\u00e9es. Ainsi, les donn\u00e9es ne doivent \u00eatre trait\u00e9es que si :<\/p>\n
        <\/p>\n
        <\/p>\n
        elles sont n\u00e9cessaires \u00e0 l\u2019activit\u00e9 de l\u2019organisme ;<\/li>\n
        <\/p>\n
        il ne s\u2019agit pas de donn\u00e9es dites \u00ab sensibles \u00bb, dans le cas contraire il convient de s\u2019assurer que le cabinet a bien le droit de les traiter ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont accessibles uniquement aux personnes habilit\u00e9es ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont conserv\u00e9es uniquement le temps n\u00e9cessaire et\/ou r\u00e8glementaire ;<\/li>\n
        <\/p>\n
        Respecter les droits des personnes. <\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le RGPD a pour objectif de renforcer la protection des donn\u00e9es des personnes. C\u2019est pourquoi il est venu conf\u00e9rer \u00e0 ces derni\u00e8res un certain nombre de droits, notamment le droit d\u2019acc\u00e8s, de rectification, d\u2019opposition, d\u2019effacement, le droit \u00e0 la limitation du traitement, \u00e0 la portabilit\u00e9. C\u2019est au responsable de traitement qu\u2019il appartient de mettre en place les mesures visant \u00e0 faire respecter ces droits.<\/p>\n
        <\/p>\n
        <\/p>\n
        S\u00e9curiser les donn\u00e9es personnelles<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le responsable de traitement doit prendre les mesures n\u00e9cessaires afin de garantir la s\u00e9curisation des donn\u00e9es personnelles en r\u00e9duisant les risques de violations de donn\u00e9es en respectant notamment les principes suivants :<\/p>\n
        <\/p>\n
        <\/p>\n
        Le principe de confidentialit\u00e9 : les donn\u00e9es doivent \u00eatre accessibles aux seules personnes autoris\u00e9es<\/li>\n
        <\/p>\n
        Le principe d\u2019int\u00e9grit\u00e9 : les donn\u00e9es ne doivent pas \u00eatre alt\u00e9r\u00e9es ou modifi\u00e9es<\/li>\n
        <\/p>\n
        Le principe de disponibilit\u00e9 : les donn\u00e9es doivent \u00eatre en permanence accessibles aux personnes autoris\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Si un organisme subi une violation de donn\u00e9es, il doit proc\u00e9der \u00e0 un signalement \u00e0 la CNIL dans les 72 heures suivant la violation, si celle-ci est susceptible de repr\u00e9senter un risque pour les droits et libert\u00e9s des personnes concern\u00e9es.<\/p>\n
        <\/p>\n
        <\/p>\n
        Respecter le principe d\u2019accountability<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Ce principe d\u00e9signe l\u2019obligation pour les cabinets de mettre en \u0153uvre des m\u00e9canismes et des proc\u00e9dures internes permettant de d\u00e9montrer le respect des r\u00e8gles relatives \u00e0 la protection des donn\u00e9es.<\/p>\n
        <\/p>\n
        En cas de contr\u00f4le de la CNIL, la cabinet doit donc \u00eatre en mesure de d\u00e9montrer sa conformit\u00e9 au RGPD et les mesures prises \u00e0 cet effet.<\/p>\n
        <\/p>\n
        <\/p>\n
        R\u00e9vision des pratiques, contrats et lettre de mission rgpd expert-comptable<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Dans le cadre du processus de mise en conformit\u00e9, il est \u00e9galement n\u00e9cessaire de modifier tous les contrats de prestation et les lettres de mission du cabinet. L\u2019Ordre des experts comptables recommande en ce sens de revoir les contrats clients en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>\n
        <\/p>\n
        \u00c9galement, il est d\u00e9sormais exclu de communiquer des bulletins de paie par email. Il convient dor\u00e9navant d\u2019utiliser une plateforme<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quelles sont les nouvelles responsabilit\u00e9s qu\u2019implique le RGPD pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Au-del\u00e0 des responsabilit\u00e9s inh\u00e9rentes \u00e0 la qualit\u00e9 de responsable de traitement, le RGPD implique de nouvelles responsabilit\u00e9s pour les experts-comptables. Tout d\u2019abord, ils voient leur responsabilit\u00e9 renforc\u00e9e en mati\u00e8re de devoir d\u2019information et de conseil, du fait de leur devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit offrir \u00e0 ses clients \u00ab des garanties suffisantes quant \u00e0 la mise en \u0153uvre de mesures techniques et organisationnelles appropri\u00e9es de mani\u00e8re \u00e0 ce que le traitement r\u00e9ponde aux exigences du pr\u00e9sent r\u00e8glement et garantisse la protection des droits de la personne concern\u00e9e \u00bb (Art.28 RGPD).<\/p>
        <\/p>
        Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        <\/p>
        Un partenariat entre la CNIL et le CSOEC a \u00e9t\u00e9 conclu en ce sens en 2020 afin notamment de diffuser une culture de la protection des donn\u00e9es personnelles aupr\u00e8s des experts-comptables, \u00e0 la fois pour la mise en conformit\u00e9 de leur propre structure mais \u00e9galement dans leur r\u00f4le de proximit\u00e9 aupr\u00e8s des entreprises.<\/p>
        <\/p>
        En effet, les experts-comptables ont une connaissance approfondie des risques li\u00e9s \u00e0 l\u2019activit\u00e9 de leurs clients et ils constituent un interlocuteur privil\u00e9gi\u00e9 pour r\u00e9pondre aux besoins de mise en conformit\u00e9 de ces derniers. Le CSOEC estime ainsi que \u00ab Les experts-comptables sont comp\u00e9tents en mati\u00e8re de protection des donn\u00e9es personnelles d\u00e8s lors qu\u2019ils ont d\u00e9j\u00e0 mis en place les obligations impos\u00e9es par le RGPD au sein de leurs cabinets. Ils peuvent donc proposer une mission dans laquelle ils accompagnent leurs entreprises clientes \u00e0 mettre en place le RGPD \u00bb.<\/p>
        <\/p>
        C’est dans ce contexte que l’expert-comptable est amen\u00e9 \u00e0 la fois \u00e0 alerter ses clients sur leur conformit\u00e9 RGPD et \u00e0 leur proposer des prestations de service relatives \u00e0 la mise en conformit\u00e9 RGPD.<\/p>
        <\/p>"}},{"@type":"Question","name":"Qu\u2019implique la mise en conformit\u00e9 au RGPD pour le cabinet d\u2019expertise comptable ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>\n
        Le processus de mise en conformit\u00e9 au RGPD implique de respecter la mise en \u0153uvre de plusieurs mesures, notamment :<\/p>\n
        <\/p>\n
        <\/p>\n
        Constituer un registre des traitements des donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Il permet au cabinet d\u2019avoir une vision d\u2019ensemble sur les traitements de donn\u00e9es qu\u2019il r\u00e9alise. Le registre requiert de proc\u00e9der \u00e0 une identification des activit\u00e9s principales du cabinet ayant recours au traitement de donn\u00e9es personnelles, c\u2019est ce qu\u2019on appelle les traitements. L’expert-comptable responsable de traitement ou le sous-traitant doit ainsi proc\u00e9der \u00e0 la cr\u00e9ation d\u2019une fiche pour chaque traitement recens\u00e9, en indiquant notamment sa finalit\u00e9, c\u2019est-\u00e0-dire l\u2019objectif en vue duquel les donn\u00e9es sont trait\u00e9es par le cabinet.<\/p>\n
        <\/p>\n
        Enfin, le registre doit \u00eatre mis \u00e0 jour r\u00e9guli\u00e8rement car les cabinets peuvent \u00eatre amen\u00e9s \u00e0 changer de logiciels, \u00e0 faire \u00e9voluer leur organisation interne ou \u00e0 changer de sous-traitants. La protection des donn\u00e9es doit donc \u00eatre continue.<\/p>\n
        <\/p>\n
        A noter : Il est vivement conseill\u00e9 de confier la tenue du registre de traitements au d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es (DPD) \/ data protection officer (DPO) qui se chargera de sa mise \u00e0 jour r\u00e9guli\u00e8rement.<\/em><\/p>\n
        <\/p>\n
        <\/p>\n
        Trier les donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le cabinet doit se limiter \u00e0 la collecte des donn\u00e9es strictement n\u00e9cessaires au traitement. C\u2019est le principe de minimisation des donn\u00e9es. Ainsi, les donn\u00e9es ne doivent \u00eatre trait\u00e9es que si :<\/p>\n
        <\/p>\n
        <\/p>\n
        elles sont n\u00e9cessaires \u00e0 l\u2019activit\u00e9 de l\u2019organisme ;<\/li>\n
        <\/p>\n
        il ne s\u2019agit pas de donn\u00e9es dites \u00ab sensibles \u00bb, dans le cas contraire il convient de s\u2019assurer que le cabinet a bien le droit de les traiter ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont accessibles uniquement aux personnes habilit\u00e9es ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont conserv\u00e9es uniquement le temps n\u00e9cessaire et\/ou r\u00e8glementaire ;<\/li>\n
        <\/p>\n
        Respecter les droits des personnes. <\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le RGPD a pour objectif de renforcer la protection des donn\u00e9es des personnes. C\u2019est pourquoi il est venu conf\u00e9rer \u00e0 ces derni\u00e8res un certain nombre de droits, notamment le droit d\u2019acc\u00e8s, de rectification, d\u2019opposition, d\u2019effacement, le droit \u00e0 la limitation du traitement, \u00e0 la portabilit\u00e9. C\u2019est au responsable de traitement qu\u2019il appartient de mettre en place les mesures visant \u00e0 faire respecter ces droits.<\/p>\n
        <\/p>\n
        <\/p>\n
        S\u00e9curiser les donn\u00e9es personnelles<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le responsable de traitement doit prendre les mesures n\u00e9cessaires afin de garantir la s\u00e9curisation des donn\u00e9es personnelles en r\u00e9duisant les risques de violations de donn\u00e9es en respectant notamment les principes suivants :<\/p>\n
        <\/p>\n
        <\/p>\n
        Le principe de confidentialit\u00e9 : les donn\u00e9es doivent \u00eatre accessibles aux seules personnes autoris\u00e9es<\/li>\n
        <\/p>\n
        Le principe d\u2019int\u00e9grit\u00e9 : les donn\u00e9es ne doivent pas \u00eatre alt\u00e9r\u00e9es ou modifi\u00e9es<\/li>\n
        <\/p>\n
        Le principe de disponibilit\u00e9 : les donn\u00e9es doivent \u00eatre en permanence accessibles aux personnes autoris\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Si un organisme subi une violation de donn\u00e9es, il doit proc\u00e9der \u00e0 un signalement \u00e0 la CNIL dans les 72 heures suivant la violation, si celle-ci est susceptible de repr\u00e9senter un risque pour les droits et libert\u00e9s des personnes concern\u00e9es.<\/p>\n
        <\/p>\n
        <\/p>\n
        Respecter le principe d\u2019accountability<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Ce principe d\u00e9signe l\u2019obligation pour les cabinets de mettre en \u0153uvre des m\u00e9canismes et des proc\u00e9dures internes permettant de d\u00e9montrer le respect des r\u00e8gles relatives \u00e0 la protection des donn\u00e9es.<\/p>\n
        <\/p>\n
        En cas de contr\u00f4le de la CNIL, la cabinet doit donc \u00eatre en mesure de d\u00e9montrer sa conformit\u00e9 au RGPD et les mesures prises \u00e0 cet effet.<\/p>\n
        <\/p>\n
        <\/p>\n
        R\u00e9vision des pratiques, contrats et lettre de mission rgpd expert-comptable<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Dans le cadre du processus de mise en conformit\u00e9, il est \u00e9galement n\u00e9cessaire de modifier tous les contrats de prestation et les lettres de mission du cabinet. L\u2019Ordre des experts comptables recommande en ce sens de revoir les contrats clients en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>\n
        <\/p>\n
        \u00c9galement, il est d\u00e9sormais exclu de communiquer des bulletins de paie par email. Il convient dor\u00e9navant d\u2019utiliser une plateforme<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quelles sont les nouvelles responsabilit\u00e9s qu\u2019implique le RGPD pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Au-del\u00e0 des responsabilit\u00e9s inh\u00e9rentes \u00e0 la qualit\u00e9 de responsable de traitement, le RGPD implique de nouvelles responsabilit\u00e9s pour les experts-comptables. Tout d\u2019abord, ils voient leur responsabilit\u00e9 renforc\u00e9e en mati\u00e8re de devoir d\u2019information et de conseil, du fait de leur devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit offrir \u00e0 ses clients \u00ab des garanties suffisantes quant \u00e0 la mise en \u0153uvre de mesures techniques et organisationnelles appropri\u00e9es de mani\u00e8re \u00e0 ce que le traitement r\u00e9ponde aux exigences du pr\u00e9sent r\u00e8glement et garantisse la protection des droits de la personne concern\u00e9e \u00bb (Art.28 RGPD).<\/p>
        <\/p>
        Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        <\/p>
        D\u00e8s lors, dans sa qualit\u00e9 et son devoir de conseil, le r\u00f4le de l\u2019expert comptable est de veiller \u00e0 ce que ses clients respectent le RGPD, notamment \u00e0 l\u2019occasion de ses missions d\u2019audits ou de l\u2019\u00e9laboration de propositions offres d\u2019accompagnement. Pour \u00e9viter tout cas de contentieux en d\u00e9faut d’information et de conseil, les experts-comptables doivent donc \u00e0 minima informer leurs clients de leur obligation \u00e0 se mettre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Un partenariat entre la CNIL et le CSOEC a \u00e9t\u00e9 conclu en ce sens en 2020 afin notamment de diffuser une culture de la protection des donn\u00e9es personnelles aupr\u00e8s des experts-comptables, \u00e0 la fois pour la mise en conformit\u00e9 de leur propre structure mais \u00e9galement dans leur r\u00f4le de proximit\u00e9 aupr\u00e8s des entreprises.<\/p>
        <\/p>
        En effet, les experts-comptables ont une connaissance approfondie des risques li\u00e9s \u00e0 l\u2019activit\u00e9 de leurs clients et ils constituent un interlocuteur privil\u00e9gi\u00e9 pour r\u00e9pondre aux besoins de mise en conformit\u00e9 de ces derniers. Le CSOEC estime ainsi que \u00ab Les experts-comptables sont comp\u00e9tents en mati\u00e8re de protection des donn\u00e9es personnelles d\u00e8s lors qu\u2019ils ont d\u00e9j\u00e0 mis en place les obligations impos\u00e9es par le RGPD au sein de leurs cabinets. Ils peuvent donc proposer une mission dans laquelle ils accompagnent leurs entreprises clientes \u00e0 mettre en place le RGPD \u00bb.<\/p>
        <\/p>
        C’est dans ce contexte que l’expert-comptable est amen\u00e9 \u00e0 la fois \u00e0 alerter ses clients sur leur conformit\u00e9 RGPD et \u00e0 leur proposer des prestations de service relatives \u00e0 la mise en conformit\u00e9 RGPD.<\/p>
        <\/p>"}},{"@type":"Question","name":"Qu\u2019implique la mise en conformit\u00e9 au RGPD pour le cabinet d\u2019expertise comptable ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>\n
        Le processus de mise en conformit\u00e9 au RGPD implique de respecter la mise en \u0153uvre de plusieurs mesures, notamment :<\/p>\n
        <\/p>\n
        <\/p>\n
        Constituer un registre des traitements des donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Il permet au cabinet d\u2019avoir une vision d\u2019ensemble sur les traitements de donn\u00e9es qu\u2019il r\u00e9alise. Le registre requiert de proc\u00e9der \u00e0 une identification des activit\u00e9s principales du cabinet ayant recours au traitement de donn\u00e9es personnelles, c\u2019est ce qu\u2019on appelle les traitements. L’expert-comptable responsable de traitement ou le sous-traitant doit ainsi proc\u00e9der \u00e0 la cr\u00e9ation d\u2019une fiche pour chaque traitement recens\u00e9, en indiquant notamment sa finalit\u00e9, c\u2019est-\u00e0-dire l\u2019objectif en vue duquel les donn\u00e9es sont trait\u00e9es par le cabinet.<\/p>\n
        <\/p>\n
        Enfin, le registre doit \u00eatre mis \u00e0 jour r\u00e9guli\u00e8rement car les cabinets peuvent \u00eatre amen\u00e9s \u00e0 changer de logiciels, \u00e0 faire \u00e9voluer leur organisation interne ou \u00e0 changer de sous-traitants. La protection des donn\u00e9es doit donc \u00eatre continue.<\/p>\n
        <\/p>\n
        A noter : Il est vivement conseill\u00e9 de confier la tenue du registre de traitements au d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es (DPD) \/ data protection officer (DPO) qui se chargera de sa mise \u00e0 jour r\u00e9guli\u00e8rement.<\/em><\/p>\n
        <\/p>\n
        <\/p>\n
        Trier les donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le cabinet doit se limiter \u00e0 la collecte des donn\u00e9es strictement n\u00e9cessaires au traitement. C\u2019est le principe de minimisation des donn\u00e9es. Ainsi, les donn\u00e9es ne doivent \u00eatre trait\u00e9es que si :<\/p>\n
        <\/p>\n
        <\/p>\n
        elles sont n\u00e9cessaires \u00e0 l\u2019activit\u00e9 de l\u2019organisme ;<\/li>\n
        <\/p>\n
        il ne s\u2019agit pas de donn\u00e9es dites \u00ab sensibles \u00bb, dans le cas contraire il convient de s\u2019assurer que le cabinet a bien le droit de les traiter ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont accessibles uniquement aux personnes habilit\u00e9es ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont conserv\u00e9es uniquement le temps n\u00e9cessaire et\/ou r\u00e8glementaire ;<\/li>\n
        <\/p>\n
        Respecter les droits des personnes. <\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le RGPD a pour objectif de renforcer la protection des donn\u00e9es des personnes. C\u2019est pourquoi il est venu conf\u00e9rer \u00e0 ces derni\u00e8res un certain nombre de droits, notamment le droit d\u2019acc\u00e8s, de rectification, d\u2019opposition, d\u2019effacement, le droit \u00e0 la limitation du traitement, \u00e0 la portabilit\u00e9. C\u2019est au responsable de traitement qu\u2019il appartient de mettre en place les mesures visant \u00e0 faire respecter ces droits.<\/p>\n
        <\/p>\n
        <\/p>\n
        S\u00e9curiser les donn\u00e9es personnelles<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le responsable de traitement doit prendre les mesures n\u00e9cessaires afin de garantir la s\u00e9curisation des donn\u00e9es personnelles en r\u00e9duisant les risques de violations de donn\u00e9es en respectant notamment les principes suivants :<\/p>\n
        <\/p>\n
        <\/p>\n
        Le principe de confidentialit\u00e9 : les donn\u00e9es doivent \u00eatre accessibles aux seules personnes autoris\u00e9es<\/li>\n
        <\/p>\n
        Le principe d\u2019int\u00e9grit\u00e9 : les donn\u00e9es ne doivent pas \u00eatre alt\u00e9r\u00e9es ou modifi\u00e9es<\/li>\n
        <\/p>\n
        Le principe de disponibilit\u00e9 : les donn\u00e9es doivent \u00eatre en permanence accessibles aux personnes autoris\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Si un organisme subi une violation de donn\u00e9es, il doit proc\u00e9der \u00e0 un signalement \u00e0 la CNIL dans les 72 heures suivant la violation, si celle-ci est susceptible de repr\u00e9senter un risque pour les droits et libert\u00e9s des personnes concern\u00e9es.<\/p>\n
        <\/p>\n
        <\/p>\n
        Respecter le principe d\u2019accountability<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Ce principe d\u00e9signe l\u2019obligation pour les cabinets de mettre en \u0153uvre des m\u00e9canismes et des proc\u00e9dures internes permettant de d\u00e9montrer le respect des r\u00e8gles relatives \u00e0 la protection des donn\u00e9es.<\/p>\n
        <\/p>\n
        En cas de contr\u00f4le de la CNIL, la cabinet doit donc \u00eatre en mesure de d\u00e9montrer sa conformit\u00e9 au RGPD et les mesures prises \u00e0 cet effet.<\/p>\n
        <\/p>\n
        <\/p>\n
        R\u00e9vision des pratiques, contrats et lettre de mission rgpd expert-comptable<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Dans le cadre du processus de mise en conformit\u00e9, il est \u00e9galement n\u00e9cessaire de modifier tous les contrats de prestation et les lettres de mission du cabinet. L\u2019Ordre des experts comptables recommande en ce sens de revoir les contrats clients en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>\n
        <\/p>\n
        \u00c9galement, il est d\u00e9sormais exclu de communiquer des bulletins de paie par email. Il convient dor\u00e9navant d\u2019utiliser une plateforme<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quelles sont les nouvelles responsabilit\u00e9s qu\u2019implique le RGPD pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Au-del\u00e0 des responsabilit\u00e9s inh\u00e9rentes \u00e0 la qualit\u00e9 de responsable de traitement, le RGPD implique de nouvelles responsabilit\u00e9s pour les experts-comptables. Tout d\u2019abord, ils voient leur responsabilit\u00e9 renforc\u00e9e en mati\u00e8re de devoir d\u2019information et de conseil, du fait de leur devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit offrir \u00e0 ses clients \u00ab des garanties suffisantes quant \u00e0 la mise en \u0153uvre de mesures techniques et organisationnelles appropri\u00e9es de mani\u00e8re \u00e0 ce que le traitement r\u00e9ponde aux exigences du pr\u00e9sent r\u00e8glement et garantisse la protection des droits de la personne concern\u00e9e \u00bb (Art.28 RGPD).<\/p>
        <\/p>
        Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        <\/p>
        En application de l’article 155 du D\u00e9cret du 30 mars 2012 relatif \u00e0 l’exercice de l’activit\u00e9 d’expertise comptable, les experts-comptables sont tenus \u00e0 un devoir d\u2019information et de conseil \u00e0 l\u2019\u00e9gard de leurs clients ou adh\u00e9rents.<\/p>
        <\/p>
        D\u00e8s lors, dans sa qualit\u00e9 et son devoir de conseil, le r\u00f4le de l\u2019expert comptable est de veiller \u00e0 ce que ses clients respectent le RGPD, notamment \u00e0 l\u2019occasion de ses missions d\u2019audits ou de l\u2019\u00e9laboration de propositions offres d\u2019accompagnement. Pour \u00e9viter tout cas de contentieux en d\u00e9faut d’information et de conseil, les experts-comptables doivent donc \u00e0 minima informer leurs clients de leur obligation \u00e0 se mettre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Un partenariat entre la CNIL et le CSOEC a \u00e9t\u00e9 conclu en ce sens en 2020 afin notamment de diffuser une culture de la protection des donn\u00e9es personnelles aupr\u00e8s des experts-comptables, \u00e0 la fois pour la mise en conformit\u00e9 de leur propre structure mais \u00e9galement dans leur r\u00f4le de proximit\u00e9 aupr\u00e8s des entreprises.<\/p>
        <\/p>
        En effet, les experts-comptables ont une connaissance approfondie des risques li\u00e9s \u00e0 l\u2019activit\u00e9 de leurs clients et ils constituent un interlocuteur privil\u00e9gi\u00e9 pour r\u00e9pondre aux besoins de mise en conformit\u00e9 de ces derniers. Le CSOEC estime ainsi que \u00ab Les experts-comptables sont comp\u00e9tents en mati\u00e8re de protection des donn\u00e9es personnelles d\u00e8s lors qu\u2019ils ont d\u00e9j\u00e0 mis en place les obligations impos\u00e9es par le RGPD au sein de leurs cabinets. Ils peuvent donc proposer une mission dans laquelle ils accompagnent leurs entreprises clientes \u00e0 mettre en place le RGPD \u00bb.<\/p>
        <\/p>
        C’est dans ce contexte que l’expert-comptable est amen\u00e9 \u00e0 la fois \u00e0 alerter ses clients sur leur conformit\u00e9 RGPD et \u00e0 leur proposer des prestations de service relatives \u00e0 la mise en conformit\u00e9 RGPD.<\/p>
        <\/p>"}},{"@type":"Question","name":"Qu\u2019implique la mise en conformit\u00e9 au RGPD pour le cabinet d\u2019expertise comptable ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>\n
        Le processus de mise en conformit\u00e9 au RGPD implique de respecter la mise en \u0153uvre de plusieurs mesures, notamment :<\/p>\n
        <\/p>\n
        <\/p>\n
        Constituer un registre des traitements des donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Il permet au cabinet d\u2019avoir une vision d\u2019ensemble sur les traitements de donn\u00e9es qu\u2019il r\u00e9alise. Le registre requiert de proc\u00e9der \u00e0 une identification des activit\u00e9s principales du cabinet ayant recours au traitement de donn\u00e9es personnelles, c\u2019est ce qu\u2019on appelle les traitements. L’expert-comptable responsable de traitement ou le sous-traitant doit ainsi proc\u00e9der \u00e0 la cr\u00e9ation d\u2019une fiche pour chaque traitement recens\u00e9, en indiquant notamment sa finalit\u00e9, c\u2019est-\u00e0-dire l\u2019objectif en vue duquel les donn\u00e9es sont trait\u00e9es par le cabinet.<\/p>\n
        <\/p>\n
        Enfin, le registre doit \u00eatre mis \u00e0 jour r\u00e9guli\u00e8rement car les cabinets peuvent \u00eatre amen\u00e9s \u00e0 changer de logiciels, \u00e0 faire \u00e9voluer leur organisation interne ou \u00e0 changer de sous-traitants. La protection des donn\u00e9es doit donc \u00eatre continue.<\/p>\n
        <\/p>\n
        A noter : Il est vivement conseill\u00e9 de confier la tenue du registre de traitements au d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es (DPD) \/ data protection officer (DPO) qui se chargera de sa mise \u00e0 jour r\u00e9guli\u00e8rement.<\/em><\/p>\n
        <\/p>\n
        <\/p>\n
        Trier les donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le cabinet doit se limiter \u00e0 la collecte des donn\u00e9es strictement n\u00e9cessaires au traitement. C\u2019est le principe de minimisation des donn\u00e9es. Ainsi, les donn\u00e9es ne doivent \u00eatre trait\u00e9es que si :<\/p>\n
        <\/p>\n
        <\/p>\n
        elles sont n\u00e9cessaires \u00e0 l\u2019activit\u00e9 de l\u2019organisme ;<\/li>\n
        <\/p>\n
        il ne s\u2019agit pas de donn\u00e9es dites \u00ab sensibles \u00bb, dans le cas contraire il convient de s\u2019assurer que le cabinet a bien le droit de les traiter ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont accessibles uniquement aux personnes habilit\u00e9es ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont conserv\u00e9es uniquement le temps n\u00e9cessaire et\/ou r\u00e8glementaire ;<\/li>\n
        <\/p>\n
        Respecter les droits des personnes. <\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le RGPD a pour objectif de renforcer la protection des donn\u00e9es des personnes. C\u2019est pourquoi il est venu conf\u00e9rer \u00e0 ces derni\u00e8res un certain nombre de droits, notamment le droit d\u2019acc\u00e8s, de rectification, d\u2019opposition, d\u2019effacement, le droit \u00e0 la limitation du traitement, \u00e0 la portabilit\u00e9. C\u2019est au responsable de traitement qu\u2019il appartient de mettre en place les mesures visant \u00e0 faire respecter ces droits.<\/p>\n
        <\/p>\n
        <\/p>\n
        S\u00e9curiser les donn\u00e9es personnelles<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le responsable de traitement doit prendre les mesures n\u00e9cessaires afin de garantir la s\u00e9curisation des donn\u00e9es personnelles en r\u00e9duisant les risques de violations de donn\u00e9es en respectant notamment les principes suivants :<\/p>\n
        <\/p>\n
        <\/p>\n
        Le principe de confidentialit\u00e9 : les donn\u00e9es doivent \u00eatre accessibles aux seules personnes autoris\u00e9es<\/li>\n
        <\/p>\n
        Le principe d\u2019int\u00e9grit\u00e9 : les donn\u00e9es ne doivent pas \u00eatre alt\u00e9r\u00e9es ou modifi\u00e9es<\/li>\n
        <\/p>\n
        Le principe de disponibilit\u00e9 : les donn\u00e9es doivent \u00eatre en permanence accessibles aux personnes autoris\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Si un organisme subi une violation de donn\u00e9es, il doit proc\u00e9der \u00e0 un signalement \u00e0 la CNIL dans les 72 heures suivant la violation, si celle-ci est susceptible de repr\u00e9senter un risque pour les droits et libert\u00e9s des personnes concern\u00e9es.<\/p>\n
        <\/p>\n
        <\/p>\n
        Respecter le principe d\u2019accountability<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Ce principe d\u00e9signe l\u2019obligation pour les cabinets de mettre en \u0153uvre des m\u00e9canismes et des proc\u00e9dures internes permettant de d\u00e9montrer le respect des r\u00e8gles relatives \u00e0 la protection des donn\u00e9es.<\/p>\n
        <\/p>\n
        En cas de contr\u00f4le de la CNIL, la cabinet doit donc \u00eatre en mesure de d\u00e9montrer sa conformit\u00e9 au RGPD et les mesures prises \u00e0 cet effet.<\/p>\n
        <\/p>\n
        <\/p>\n
        R\u00e9vision des pratiques, contrats et lettre de mission rgpd expert-comptable<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Dans le cadre du processus de mise en conformit\u00e9, il est \u00e9galement n\u00e9cessaire de modifier tous les contrats de prestation et les lettres de mission du cabinet. L\u2019Ordre des experts comptables recommande en ce sens de revoir les contrats clients en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>\n
        <\/p>\n
        \u00c9galement, il est d\u00e9sormais exclu de communiquer des bulletins de paie par email. Il convient dor\u00e9navant d\u2019utiliser une plateforme<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quelles sont les nouvelles responsabilit\u00e9s qu\u2019implique le RGPD pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Au-del\u00e0 des responsabilit\u00e9s inh\u00e9rentes \u00e0 la qualit\u00e9 de responsable de traitement, le RGPD implique de nouvelles responsabilit\u00e9s pour les experts-comptables. Tout d\u2019abord, ils voient leur responsabilit\u00e9 renforc\u00e9e en mati\u00e8re de devoir d\u2019information et de conseil, du fait de leur devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit offrir \u00e0 ses clients \u00ab des garanties suffisantes quant \u00e0 la mise en \u0153uvre de mesures techniques et organisationnelles appropri\u00e9es de mani\u00e8re \u00e0 ce que le traitement r\u00e9ponde aux exigences du pr\u00e9sent r\u00e8glement et garantisse la protection des droits de la personne concern\u00e9e \u00bb (Art.28 RGPD).<\/p>
        <\/p>
        Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        <\/p>\n
        \u00catre conforme RGPD est donc primordial.<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quel est le r\u00f4le de l\u2019expert-comptable dans l\u2019accompagnement de ses clients en mati\u00e8re de conformit\u00e9 RGPD\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        En application de l’article 155 du D\u00e9cret du 30 mars 2012 relatif \u00e0 l’exercice de l’activit\u00e9 d’expertise comptable, les experts-comptables sont tenus \u00e0 un devoir d\u2019information et de conseil \u00e0 l\u2019\u00e9gard de leurs clients ou adh\u00e9rents.<\/p>
        <\/p>
        D\u00e8s lors, dans sa qualit\u00e9 et son devoir de conseil, le r\u00f4le de l\u2019expert comptable est de veiller \u00e0 ce que ses clients respectent le RGPD, notamment \u00e0 l\u2019occasion de ses missions d\u2019audits ou de l\u2019\u00e9laboration de propositions offres d\u2019accompagnement. Pour \u00e9viter tout cas de contentieux en d\u00e9faut d’information et de conseil, les experts-comptables doivent donc \u00e0 minima informer leurs clients de leur obligation \u00e0 se mettre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Un partenariat entre la CNIL et le CSOEC a \u00e9t\u00e9 conclu en ce sens en 2020 afin notamment de diffuser une culture de la protection des donn\u00e9es personnelles aupr\u00e8s des experts-comptables, \u00e0 la fois pour la mise en conformit\u00e9 de leur propre structure mais \u00e9galement dans leur r\u00f4le de proximit\u00e9 aupr\u00e8s des entreprises.<\/p>
        <\/p>
        En effet, les experts-comptables ont une connaissance approfondie des risques li\u00e9s \u00e0 l\u2019activit\u00e9 de leurs clients et ils constituent un interlocuteur privil\u00e9gi\u00e9 pour r\u00e9pondre aux besoins de mise en conformit\u00e9 de ces derniers. Le CSOEC estime ainsi que \u00ab Les experts-comptables sont comp\u00e9tents en mati\u00e8re de protection des donn\u00e9es personnelles d\u00e8s lors qu\u2019ils ont d\u00e9j\u00e0 mis en place les obligations impos\u00e9es par le RGPD au sein de leurs cabinets. Ils peuvent donc proposer une mission dans laquelle ils accompagnent leurs entreprises clientes \u00e0 mettre en place le RGPD \u00bb.<\/p>
        <\/p>
        C’est dans ce contexte que l’expert-comptable est amen\u00e9 \u00e0 la fois \u00e0 alerter ses clients sur leur conformit\u00e9 RGPD et \u00e0 leur proposer des prestations de service relatives \u00e0 la mise en conformit\u00e9 RGPD.<\/p>
        <\/p>"}},{"@type":"Question","name":"Qu\u2019implique la mise en conformit\u00e9 au RGPD pour le cabinet d\u2019expertise comptable ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>\n
        Le processus de mise en conformit\u00e9 au RGPD implique de respecter la mise en \u0153uvre de plusieurs mesures, notamment :<\/p>\n
        <\/p>\n
        <\/p>\n
        Constituer un registre des traitements des donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Il permet au cabinet d\u2019avoir une vision d\u2019ensemble sur les traitements de donn\u00e9es qu\u2019il r\u00e9alise. Le registre requiert de proc\u00e9der \u00e0 une identification des activit\u00e9s principales du cabinet ayant recours au traitement de donn\u00e9es personnelles, c\u2019est ce qu\u2019on appelle les traitements. L’expert-comptable responsable de traitement ou le sous-traitant doit ainsi proc\u00e9der \u00e0 la cr\u00e9ation d\u2019une fiche pour chaque traitement recens\u00e9, en indiquant notamment sa finalit\u00e9, c\u2019est-\u00e0-dire l\u2019objectif en vue duquel les donn\u00e9es sont trait\u00e9es par le cabinet.<\/p>\n
        <\/p>\n
        Enfin, le registre doit \u00eatre mis \u00e0 jour r\u00e9guli\u00e8rement car les cabinets peuvent \u00eatre amen\u00e9s \u00e0 changer de logiciels, \u00e0 faire \u00e9voluer leur organisation interne ou \u00e0 changer de sous-traitants. La protection des donn\u00e9es doit donc \u00eatre continue.<\/p>\n
        <\/p>\n
        A noter : Il est vivement conseill\u00e9 de confier la tenue du registre de traitements au d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es (DPD) \/ data protection officer (DPO) qui se chargera de sa mise \u00e0 jour r\u00e9guli\u00e8rement.<\/em><\/p>\n
        <\/p>\n
        <\/p>\n
        Trier les donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le cabinet doit se limiter \u00e0 la collecte des donn\u00e9es strictement n\u00e9cessaires au traitement. C\u2019est le principe de minimisation des donn\u00e9es. Ainsi, les donn\u00e9es ne doivent \u00eatre trait\u00e9es que si :<\/p>\n
        <\/p>\n
        <\/p>\n
        elles sont n\u00e9cessaires \u00e0 l\u2019activit\u00e9 de l\u2019organisme ;<\/li>\n
        <\/p>\n
        il ne s\u2019agit pas de donn\u00e9es dites \u00ab sensibles \u00bb, dans le cas contraire il convient de s\u2019assurer que le cabinet a bien le droit de les traiter ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont accessibles uniquement aux personnes habilit\u00e9es ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont conserv\u00e9es uniquement le temps n\u00e9cessaire et\/ou r\u00e8glementaire ;<\/li>\n
        <\/p>\n
        Respecter les droits des personnes. <\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le RGPD a pour objectif de renforcer la protection des donn\u00e9es des personnes. C\u2019est pourquoi il est venu conf\u00e9rer \u00e0 ces derni\u00e8res un certain nombre de droits, notamment le droit d\u2019acc\u00e8s, de rectification, d\u2019opposition, d\u2019effacement, le droit \u00e0 la limitation du traitement, \u00e0 la portabilit\u00e9. C\u2019est au responsable de traitement qu\u2019il appartient de mettre en place les mesures visant \u00e0 faire respecter ces droits.<\/p>\n
        <\/p>\n
        <\/p>\n
        S\u00e9curiser les donn\u00e9es personnelles<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le responsable de traitement doit prendre les mesures n\u00e9cessaires afin de garantir la s\u00e9curisation des donn\u00e9es personnelles en r\u00e9duisant les risques de violations de donn\u00e9es en respectant notamment les principes suivants :<\/p>\n
        <\/p>\n
        <\/p>\n
        Le principe de confidentialit\u00e9 : les donn\u00e9es doivent \u00eatre accessibles aux seules personnes autoris\u00e9es<\/li>\n
        <\/p>\n
        Le principe d\u2019int\u00e9grit\u00e9 : les donn\u00e9es ne doivent pas \u00eatre alt\u00e9r\u00e9es ou modifi\u00e9es<\/li>\n
        <\/p>\n
        Le principe de disponibilit\u00e9 : les donn\u00e9es doivent \u00eatre en permanence accessibles aux personnes autoris\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Si un organisme subi une violation de donn\u00e9es, il doit proc\u00e9der \u00e0 un signalement \u00e0 la CNIL dans les 72 heures suivant la violation, si celle-ci est susceptible de repr\u00e9senter un risque pour les droits et libert\u00e9s des personnes concern\u00e9es.<\/p>\n
        <\/p>\n
        <\/p>\n
        Respecter le principe d\u2019accountability<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Ce principe d\u00e9signe l\u2019obligation pour les cabinets de mettre en \u0153uvre des m\u00e9canismes et des proc\u00e9dures internes permettant de d\u00e9montrer le respect des r\u00e8gles relatives \u00e0 la protection des donn\u00e9es.<\/p>\n
        <\/p>\n
        En cas de contr\u00f4le de la CNIL, la cabinet doit donc \u00eatre en mesure de d\u00e9montrer sa conformit\u00e9 au RGPD et les mesures prises \u00e0 cet effet.<\/p>\n
        <\/p>\n
        <\/p>\n
        R\u00e9vision des pratiques, contrats et lettre de mission rgpd expert-comptable<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Dans le cadre du processus de mise en conformit\u00e9, il est \u00e9galement n\u00e9cessaire de modifier tous les contrats de prestation et les lettres de mission du cabinet. L\u2019Ordre des experts comptables recommande en ce sens de revoir les contrats clients en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>\n
        <\/p>\n
        \u00c9galement, il est d\u00e9sormais exclu de communiquer des bulletins de paie par email. Il convient dor\u00e9navant d\u2019utiliser une plateforme<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quelles sont les nouvelles responsabilit\u00e9s qu\u2019implique le RGPD pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Au-del\u00e0 des responsabilit\u00e9s inh\u00e9rentes \u00e0 la qualit\u00e9 de responsable de traitement, le RGPD implique de nouvelles responsabilit\u00e9s pour les experts-comptables. Tout d\u2019abord, ils voient leur responsabilit\u00e9 renforc\u00e9e en mati\u00e8re de devoir d\u2019information et de conseil, du fait de leur devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit offrir \u00e0 ses clients \u00ab des garanties suffisantes quant \u00e0 la mise en \u0153uvre de mesures techniques et organisationnelles appropri\u00e9es de mani\u00e8re \u00e0 ce que le traitement r\u00e9ponde aux exigences du pr\u00e9sent r\u00e8glement et garantisse la protection des droits de la personne concern\u00e9e \u00bb (Art.28 RGPD).<\/p>
        <\/p>
        Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        <\/p>\n
        Am\u00e9liorer l\u2019organisation interne et renforcer la confiance des collaborateurs de l\u2019organisme<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        \u00catre conforme RGPD est donc primordial.<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quel est le r\u00f4le de l\u2019expert-comptable dans l\u2019accompagnement de ses clients en mati\u00e8re de conformit\u00e9 RGPD\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        En application de l’article 155 du D\u00e9cret du 30 mars 2012 relatif \u00e0 l’exercice de l’activit\u00e9 d’expertise comptable, les experts-comptables sont tenus \u00e0 un devoir d\u2019information et de conseil \u00e0 l\u2019\u00e9gard de leurs clients ou adh\u00e9rents.<\/p>
        <\/p>
        D\u00e8s lors, dans sa qualit\u00e9 et son devoir de conseil, le r\u00f4le de l\u2019expert comptable est de veiller \u00e0 ce que ses clients respectent le RGPD, notamment \u00e0 l\u2019occasion de ses missions d\u2019audits ou de l\u2019\u00e9laboration de propositions offres d\u2019accompagnement. Pour \u00e9viter tout cas de contentieux en d\u00e9faut d’information et de conseil, les experts-comptables doivent donc \u00e0 minima informer leurs clients de leur obligation \u00e0 se mettre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Un partenariat entre la CNIL et le CSOEC a \u00e9t\u00e9 conclu en ce sens en 2020 afin notamment de diffuser une culture de la protection des donn\u00e9es personnelles aupr\u00e8s des experts-comptables, \u00e0 la fois pour la mise en conformit\u00e9 de leur propre structure mais \u00e9galement dans leur r\u00f4le de proximit\u00e9 aupr\u00e8s des entreprises.<\/p>
        <\/p>
        En effet, les experts-comptables ont une connaissance approfondie des risques li\u00e9s \u00e0 l\u2019activit\u00e9 de leurs clients et ils constituent un interlocuteur privil\u00e9gi\u00e9 pour r\u00e9pondre aux besoins de mise en conformit\u00e9 de ces derniers. Le CSOEC estime ainsi que \u00ab Les experts-comptables sont comp\u00e9tents en mati\u00e8re de protection des donn\u00e9es personnelles d\u00e8s lors qu\u2019ils ont d\u00e9j\u00e0 mis en place les obligations impos\u00e9es par le RGPD au sein de leurs cabinets. Ils peuvent donc proposer une mission dans laquelle ils accompagnent leurs entreprises clientes \u00e0 mettre en place le RGPD \u00bb.<\/p>
        <\/p>
        C’est dans ce contexte que l’expert-comptable est amen\u00e9 \u00e0 la fois \u00e0 alerter ses clients sur leur conformit\u00e9 RGPD et \u00e0 leur proposer des prestations de service relatives \u00e0 la mise en conformit\u00e9 RGPD.<\/p>
        <\/p>"}},{"@type":"Question","name":"Qu\u2019implique la mise en conformit\u00e9 au RGPD pour le cabinet d\u2019expertise comptable ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>\n
        Le processus de mise en conformit\u00e9 au RGPD implique de respecter la mise en \u0153uvre de plusieurs mesures, notamment :<\/p>\n
        <\/p>\n
        <\/p>\n
        Constituer un registre des traitements des donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Il permet au cabinet d\u2019avoir une vision d\u2019ensemble sur les traitements de donn\u00e9es qu\u2019il r\u00e9alise. Le registre requiert de proc\u00e9der \u00e0 une identification des activit\u00e9s principales du cabinet ayant recours au traitement de donn\u00e9es personnelles, c\u2019est ce qu\u2019on appelle les traitements. L’expert-comptable responsable de traitement ou le sous-traitant doit ainsi proc\u00e9der \u00e0 la cr\u00e9ation d\u2019une fiche pour chaque traitement recens\u00e9, en indiquant notamment sa finalit\u00e9, c\u2019est-\u00e0-dire l\u2019objectif en vue duquel les donn\u00e9es sont trait\u00e9es par le cabinet.<\/p>\n
        <\/p>\n
        Enfin, le registre doit \u00eatre mis \u00e0 jour r\u00e9guli\u00e8rement car les cabinets peuvent \u00eatre amen\u00e9s \u00e0 changer de logiciels, \u00e0 faire \u00e9voluer leur organisation interne ou \u00e0 changer de sous-traitants. La protection des donn\u00e9es doit donc \u00eatre continue.<\/p>\n
        <\/p>\n
        A noter : Il est vivement conseill\u00e9 de confier la tenue du registre de traitements au d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es (DPD) \/ data protection officer (DPO) qui se chargera de sa mise \u00e0 jour r\u00e9guli\u00e8rement.<\/em><\/p>\n
        <\/p>\n
        <\/p>\n
        Trier les donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le cabinet doit se limiter \u00e0 la collecte des donn\u00e9es strictement n\u00e9cessaires au traitement. C\u2019est le principe de minimisation des donn\u00e9es. Ainsi, les donn\u00e9es ne doivent \u00eatre trait\u00e9es que si :<\/p>\n
        <\/p>\n
        <\/p>\n
        elles sont n\u00e9cessaires \u00e0 l\u2019activit\u00e9 de l\u2019organisme ;<\/li>\n
        <\/p>\n
        il ne s\u2019agit pas de donn\u00e9es dites \u00ab sensibles \u00bb, dans le cas contraire il convient de s\u2019assurer que le cabinet a bien le droit de les traiter ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont accessibles uniquement aux personnes habilit\u00e9es ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont conserv\u00e9es uniquement le temps n\u00e9cessaire et\/ou r\u00e8glementaire ;<\/li>\n
        <\/p>\n
        Respecter les droits des personnes. <\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le RGPD a pour objectif de renforcer la protection des donn\u00e9es des personnes. C\u2019est pourquoi il est venu conf\u00e9rer \u00e0 ces derni\u00e8res un certain nombre de droits, notamment le droit d\u2019acc\u00e8s, de rectification, d\u2019opposition, d\u2019effacement, le droit \u00e0 la limitation du traitement, \u00e0 la portabilit\u00e9. C\u2019est au responsable de traitement qu\u2019il appartient de mettre en place les mesures visant \u00e0 faire respecter ces droits.<\/p>\n
        <\/p>\n
        <\/p>\n
        S\u00e9curiser les donn\u00e9es personnelles<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le responsable de traitement doit prendre les mesures n\u00e9cessaires afin de garantir la s\u00e9curisation des donn\u00e9es personnelles en r\u00e9duisant les risques de violations de donn\u00e9es en respectant notamment les principes suivants :<\/p>\n
        <\/p>\n
        <\/p>\n
        Le principe de confidentialit\u00e9 : les donn\u00e9es doivent \u00eatre accessibles aux seules personnes autoris\u00e9es<\/li>\n
        <\/p>\n
        Le principe d\u2019int\u00e9grit\u00e9 : les donn\u00e9es ne doivent pas \u00eatre alt\u00e9r\u00e9es ou modifi\u00e9es<\/li>\n
        <\/p>\n
        Le principe de disponibilit\u00e9 : les donn\u00e9es doivent \u00eatre en permanence accessibles aux personnes autoris\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Si un organisme subi une violation de donn\u00e9es, il doit proc\u00e9der \u00e0 un signalement \u00e0 la CNIL dans les 72 heures suivant la violation, si celle-ci est susceptible de repr\u00e9senter un risque pour les droits et libert\u00e9s des personnes concern\u00e9es.<\/p>\n
        <\/p>\n
        <\/p>\n
        Respecter le principe d\u2019accountability<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Ce principe d\u00e9signe l\u2019obligation pour les cabinets de mettre en \u0153uvre des m\u00e9canismes et des proc\u00e9dures internes permettant de d\u00e9montrer le respect des r\u00e8gles relatives \u00e0 la protection des donn\u00e9es.<\/p>\n
        <\/p>\n
        En cas de contr\u00f4le de la CNIL, la cabinet doit donc \u00eatre en mesure de d\u00e9montrer sa conformit\u00e9 au RGPD et les mesures prises \u00e0 cet effet.<\/p>\n
        <\/p>\n
        <\/p>\n
        R\u00e9vision des pratiques, contrats et lettre de mission rgpd expert-comptable<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Dans le cadre du processus de mise en conformit\u00e9, il est \u00e9galement n\u00e9cessaire de modifier tous les contrats de prestation et les lettres de mission du cabinet. L\u2019Ordre des experts comptables recommande en ce sens de revoir les contrats clients en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>\n
        <\/p>\n
        \u00c9galement, il est d\u00e9sormais exclu de communiquer des bulletins de paie par email. Il convient dor\u00e9navant d\u2019utiliser une plateforme<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quelles sont les nouvelles responsabilit\u00e9s qu\u2019implique le RGPD pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Au-del\u00e0 des responsabilit\u00e9s inh\u00e9rentes \u00e0 la qualit\u00e9 de responsable de traitement, le RGPD implique de nouvelles responsabilit\u00e9s pour les experts-comptables. Tout d\u2019abord, ils voient leur responsabilit\u00e9 renforc\u00e9e en mati\u00e8re de devoir d\u2019information et de conseil, du fait de leur devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit offrir \u00e0 ses clients \u00ab des garanties suffisantes quant \u00e0 la mise en \u0153uvre de mesures techniques et organisationnelles appropri\u00e9es de mani\u00e8re \u00e0 ce que le traitement r\u00e9ponde aux exigences du pr\u00e9sent r\u00e8glement et garantisse la protection des droits de la personne concern\u00e9e \u00bb (Art.28 RGPD).<\/p>
        <\/p>
        Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        <\/p>\n
        Remporter des appels d\u2019offre (les acheteurs publics ont l\u2019obligation de v\u00e9rifier la conformit\u00e9 RGPD des soumissionnaires \u00e0 appel d\u2019offres)<\/li>\n
        <\/p>\n
        Am\u00e9liorer l\u2019organisation interne et renforcer la confiance des collaborateurs de l\u2019organisme<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        \u00catre conforme RGPD est donc primordial.<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quel est le r\u00f4le de l\u2019expert-comptable dans l\u2019accompagnement de ses clients en mati\u00e8re de conformit\u00e9 RGPD\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        En application de l’article 155 du D\u00e9cret du 30 mars 2012 relatif \u00e0 l’exercice de l’activit\u00e9 d’expertise comptable, les experts-comptables sont tenus \u00e0 un devoir d\u2019information et de conseil \u00e0 l\u2019\u00e9gard de leurs clients ou adh\u00e9rents.<\/p>
        <\/p>
        D\u00e8s lors, dans sa qualit\u00e9 et son devoir de conseil, le r\u00f4le de l\u2019expert comptable est de veiller \u00e0 ce que ses clients respectent le RGPD, notamment \u00e0 l\u2019occasion de ses missions d\u2019audits ou de l\u2019\u00e9laboration de propositions offres d\u2019accompagnement. Pour \u00e9viter tout cas de contentieux en d\u00e9faut d’information et de conseil, les experts-comptables doivent donc \u00e0 minima informer leurs clients de leur obligation \u00e0 se mettre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Un partenariat entre la CNIL et le CSOEC a \u00e9t\u00e9 conclu en ce sens en 2020 afin notamment de diffuser une culture de la protection des donn\u00e9es personnelles aupr\u00e8s des experts-comptables, \u00e0 la fois pour la mise en conformit\u00e9 de leur propre structure mais \u00e9galement dans leur r\u00f4le de proximit\u00e9 aupr\u00e8s des entreprises.<\/p>
        <\/p>
        En effet, les experts-comptables ont une connaissance approfondie des risques li\u00e9s \u00e0 l\u2019activit\u00e9 de leurs clients et ils constituent un interlocuteur privil\u00e9gi\u00e9 pour r\u00e9pondre aux besoins de mise en conformit\u00e9 de ces derniers. Le CSOEC estime ainsi que \u00ab Les experts-comptables sont comp\u00e9tents en mati\u00e8re de protection des donn\u00e9es personnelles d\u00e8s lors qu\u2019ils ont d\u00e9j\u00e0 mis en place les obligations impos\u00e9es par le RGPD au sein de leurs cabinets. Ils peuvent donc proposer une mission dans laquelle ils accompagnent leurs entreprises clientes \u00e0 mettre en place le RGPD \u00bb.<\/p>
        <\/p>
        C’est dans ce contexte que l’expert-comptable est amen\u00e9 \u00e0 la fois \u00e0 alerter ses clients sur leur conformit\u00e9 RGPD et \u00e0 leur proposer des prestations de service relatives \u00e0 la mise en conformit\u00e9 RGPD.<\/p>
        <\/p>"}},{"@type":"Question","name":"Qu\u2019implique la mise en conformit\u00e9 au RGPD pour le cabinet d\u2019expertise comptable ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>\n
        Le processus de mise en conformit\u00e9 au RGPD implique de respecter la mise en \u0153uvre de plusieurs mesures, notamment :<\/p>\n
        <\/p>\n
        <\/p>\n
        Constituer un registre des traitements des donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Il permet au cabinet d\u2019avoir une vision d\u2019ensemble sur les traitements de donn\u00e9es qu\u2019il r\u00e9alise. Le registre requiert de proc\u00e9der \u00e0 une identification des activit\u00e9s principales du cabinet ayant recours au traitement de donn\u00e9es personnelles, c\u2019est ce qu\u2019on appelle les traitements. L’expert-comptable responsable de traitement ou le sous-traitant doit ainsi proc\u00e9der \u00e0 la cr\u00e9ation d\u2019une fiche pour chaque traitement recens\u00e9, en indiquant notamment sa finalit\u00e9, c\u2019est-\u00e0-dire l\u2019objectif en vue duquel les donn\u00e9es sont trait\u00e9es par le cabinet.<\/p>\n
        <\/p>\n
        Enfin, le registre doit \u00eatre mis \u00e0 jour r\u00e9guli\u00e8rement car les cabinets peuvent \u00eatre amen\u00e9s \u00e0 changer de logiciels, \u00e0 faire \u00e9voluer leur organisation interne ou \u00e0 changer de sous-traitants. La protection des donn\u00e9es doit donc \u00eatre continue.<\/p>\n
        <\/p>\n
        A noter : Il est vivement conseill\u00e9 de confier la tenue du registre de traitements au d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es (DPD) \/ data protection officer (DPO) qui se chargera de sa mise \u00e0 jour r\u00e9guli\u00e8rement.<\/em><\/p>\n
        <\/p>\n
        <\/p>\n
        Trier les donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le cabinet doit se limiter \u00e0 la collecte des donn\u00e9es strictement n\u00e9cessaires au traitement. C\u2019est le principe de minimisation des donn\u00e9es. Ainsi, les donn\u00e9es ne doivent \u00eatre trait\u00e9es que si :<\/p>\n
        <\/p>\n
        <\/p>\n
        elles sont n\u00e9cessaires \u00e0 l\u2019activit\u00e9 de l\u2019organisme ;<\/li>\n
        <\/p>\n
        il ne s\u2019agit pas de donn\u00e9es dites \u00ab sensibles \u00bb, dans le cas contraire il convient de s\u2019assurer que le cabinet a bien le droit de les traiter ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont accessibles uniquement aux personnes habilit\u00e9es ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont conserv\u00e9es uniquement le temps n\u00e9cessaire et\/ou r\u00e8glementaire ;<\/li>\n
        <\/p>\n
        Respecter les droits des personnes. <\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le RGPD a pour objectif de renforcer la protection des donn\u00e9es des personnes. C\u2019est pourquoi il est venu conf\u00e9rer \u00e0 ces derni\u00e8res un certain nombre de droits, notamment le droit d\u2019acc\u00e8s, de rectification, d\u2019opposition, d\u2019effacement, le droit \u00e0 la limitation du traitement, \u00e0 la portabilit\u00e9. C\u2019est au responsable de traitement qu\u2019il appartient de mettre en place les mesures visant \u00e0 faire respecter ces droits.<\/p>\n
        <\/p>\n
        <\/p>\n
        S\u00e9curiser les donn\u00e9es personnelles<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le responsable de traitement doit prendre les mesures n\u00e9cessaires afin de garantir la s\u00e9curisation des donn\u00e9es personnelles en r\u00e9duisant les risques de violations de donn\u00e9es en respectant notamment les principes suivants :<\/p>\n
        <\/p>\n
        <\/p>\n
        Le principe de confidentialit\u00e9 : les donn\u00e9es doivent \u00eatre accessibles aux seules personnes autoris\u00e9es<\/li>\n
        <\/p>\n
        Le principe d\u2019int\u00e9grit\u00e9 : les donn\u00e9es ne doivent pas \u00eatre alt\u00e9r\u00e9es ou modifi\u00e9es<\/li>\n
        <\/p>\n
        Le principe de disponibilit\u00e9 : les donn\u00e9es doivent \u00eatre en permanence accessibles aux personnes autoris\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Si un organisme subi une violation de donn\u00e9es, il doit proc\u00e9der \u00e0 un signalement \u00e0 la CNIL dans les 72 heures suivant la violation, si celle-ci est susceptible de repr\u00e9senter un risque pour les droits et libert\u00e9s des personnes concern\u00e9es.<\/p>\n
        <\/p>\n
        <\/p>\n
        Respecter le principe d\u2019accountability<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Ce principe d\u00e9signe l\u2019obligation pour les cabinets de mettre en \u0153uvre des m\u00e9canismes et des proc\u00e9dures internes permettant de d\u00e9montrer le respect des r\u00e8gles relatives \u00e0 la protection des donn\u00e9es.<\/p>\n
        <\/p>\n
        En cas de contr\u00f4le de la CNIL, la cabinet doit donc \u00eatre en mesure de d\u00e9montrer sa conformit\u00e9 au RGPD et les mesures prises \u00e0 cet effet.<\/p>\n
        <\/p>\n
        <\/p>\n
        R\u00e9vision des pratiques, contrats et lettre de mission rgpd expert-comptable<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Dans le cadre du processus de mise en conformit\u00e9, il est \u00e9galement n\u00e9cessaire de modifier tous les contrats de prestation et les lettres de mission du cabinet. L\u2019Ordre des experts comptables recommande en ce sens de revoir les contrats clients en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>\n
        <\/p>\n
        \u00c9galement, il est d\u00e9sormais exclu de communiquer des bulletins de paie par email. Il convient dor\u00e9navant d\u2019utiliser une plateforme<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quelles sont les nouvelles responsabilit\u00e9s qu\u2019implique le RGPD pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Au-del\u00e0 des responsabilit\u00e9s inh\u00e9rentes \u00e0 la qualit\u00e9 de responsable de traitement, le RGPD implique de nouvelles responsabilit\u00e9s pour les experts-comptables. Tout d\u2019abord, ils voient leur responsabilit\u00e9 renforc\u00e9e en mati\u00e8re de devoir d\u2019information et de conseil, du fait de leur devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit offrir \u00e0 ses clients \u00ab des garanties suffisantes quant \u00e0 la mise en \u0153uvre de mesures techniques et organisationnelles appropri\u00e9es de mani\u00e8re \u00e0 ce que le traitement r\u00e9ponde aux exigences du pr\u00e9sent r\u00e8glement et garantisse la protection des droits de la personne concern\u00e9e \u00bb (Art.28 RGPD).<\/p>
        <\/p>
        Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        <\/p>\n
        Acqu\u00e9rir de nouveaux clients et de nouveaux march\u00e9s<\/li>\n
        <\/p>\n
        Remporter des appels d\u2019offre (les acheteurs publics ont l\u2019obligation de v\u00e9rifier la conformit\u00e9 RGPD des soumissionnaires \u00e0 appel d\u2019offres)<\/li>\n
        <\/p>\n
        Am\u00e9liorer l\u2019organisation interne et renforcer la confiance des collaborateurs de l\u2019organisme<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        \u00catre conforme RGPD est donc primordial.<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quel est le r\u00f4le de l\u2019expert-comptable dans l\u2019accompagnement de ses clients en mati\u00e8re de conformit\u00e9 RGPD\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        En application de l’article 155 du D\u00e9cret du 30 mars 2012 relatif \u00e0 l’exercice de l’activit\u00e9 d’expertise comptable, les experts-comptables sont tenus \u00e0 un devoir d\u2019information et de conseil \u00e0 l\u2019\u00e9gard de leurs clients ou adh\u00e9rents.<\/p>
        <\/p>
        D\u00e8s lors, dans sa qualit\u00e9 et son devoir de conseil, le r\u00f4le de l\u2019expert comptable est de veiller \u00e0 ce que ses clients respectent le RGPD, notamment \u00e0 l\u2019occasion de ses missions d\u2019audits ou de l\u2019\u00e9laboration de propositions offres d\u2019accompagnement. Pour \u00e9viter tout cas de contentieux en d\u00e9faut d’information et de conseil, les experts-comptables doivent donc \u00e0 minima informer leurs clients de leur obligation \u00e0 se mettre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Un partenariat entre la CNIL et le CSOEC a \u00e9t\u00e9 conclu en ce sens en 2020 afin notamment de diffuser une culture de la protection des donn\u00e9es personnelles aupr\u00e8s des experts-comptables, \u00e0 la fois pour la mise en conformit\u00e9 de leur propre structure mais \u00e9galement dans leur r\u00f4le de proximit\u00e9 aupr\u00e8s des entreprises.<\/p>
        <\/p>
        En effet, les experts-comptables ont une connaissance approfondie des risques li\u00e9s \u00e0 l\u2019activit\u00e9 de leurs clients et ils constituent un interlocuteur privil\u00e9gi\u00e9 pour r\u00e9pondre aux besoins de mise en conformit\u00e9 de ces derniers. Le CSOEC estime ainsi que \u00ab Les experts-comptables sont comp\u00e9tents en mati\u00e8re de protection des donn\u00e9es personnelles d\u00e8s lors qu\u2019ils ont d\u00e9j\u00e0 mis en place les obligations impos\u00e9es par le RGPD au sein de leurs cabinets. Ils peuvent donc proposer une mission dans laquelle ils accompagnent leurs entreprises clientes \u00e0 mettre en place le RGPD \u00bb.<\/p>
        <\/p>
        C’est dans ce contexte que l’expert-comptable est amen\u00e9 \u00e0 la fois \u00e0 alerter ses clients sur leur conformit\u00e9 RGPD et \u00e0 leur proposer des prestations de service relatives \u00e0 la mise en conformit\u00e9 RGPD.<\/p>
        <\/p>"}},{"@type":"Question","name":"Qu\u2019implique la mise en conformit\u00e9 au RGPD pour le cabinet d\u2019expertise comptable ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>\n
        Le processus de mise en conformit\u00e9 au RGPD implique de respecter la mise en \u0153uvre de plusieurs mesures, notamment :<\/p>\n
        <\/p>\n
        <\/p>\n
        Constituer un registre des traitements des donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Il permet au cabinet d\u2019avoir une vision d\u2019ensemble sur les traitements de donn\u00e9es qu\u2019il r\u00e9alise. Le registre requiert de proc\u00e9der \u00e0 une identification des activit\u00e9s principales du cabinet ayant recours au traitement de donn\u00e9es personnelles, c\u2019est ce qu\u2019on appelle les traitements. L’expert-comptable responsable de traitement ou le sous-traitant doit ainsi proc\u00e9der \u00e0 la cr\u00e9ation d\u2019une fiche pour chaque traitement recens\u00e9, en indiquant notamment sa finalit\u00e9, c\u2019est-\u00e0-dire l\u2019objectif en vue duquel les donn\u00e9es sont trait\u00e9es par le cabinet.<\/p>\n
        <\/p>\n
        Enfin, le registre doit \u00eatre mis \u00e0 jour r\u00e9guli\u00e8rement car les cabinets peuvent \u00eatre amen\u00e9s \u00e0 changer de logiciels, \u00e0 faire \u00e9voluer leur organisation interne ou \u00e0 changer de sous-traitants. La protection des donn\u00e9es doit donc \u00eatre continue.<\/p>\n
        <\/p>\n
        A noter : Il est vivement conseill\u00e9 de confier la tenue du registre de traitements au d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es (DPD) \/ data protection officer (DPO) qui se chargera de sa mise \u00e0 jour r\u00e9guli\u00e8rement.<\/em><\/p>\n
        <\/p>\n
        <\/p>\n
        Trier les donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le cabinet doit se limiter \u00e0 la collecte des donn\u00e9es strictement n\u00e9cessaires au traitement. C\u2019est le principe de minimisation des donn\u00e9es. Ainsi, les donn\u00e9es ne doivent \u00eatre trait\u00e9es que si :<\/p>\n
        <\/p>\n
        <\/p>\n
        elles sont n\u00e9cessaires \u00e0 l\u2019activit\u00e9 de l\u2019organisme ;<\/li>\n
        <\/p>\n
        il ne s\u2019agit pas de donn\u00e9es dites \u00ab sensibles \u00bb, dans le cas contraire il convient de s\u2019assurer que le cabinet a bien le droit de les traiter ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont accessibles uniquement aux personnes habilit\u00e9es ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont conserv\u00e9es uniquement le temps n\u00e9cessaire et\/ou r\u00e8glementaire ;<\/li>\n
        <\/p>\n
        Respecter les droits des personnes. <\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le RGPD a pour objectif de renforcer la protection des donn\u00e9es des personnes. C\u2019est pourquoi il est venu conf\u00e9rer \u00e0 ces derni\u00e8res un certain nombre de droits, notamment le droit d\u2019acc\u00e8s, de rectification, d\u2019opposition, d\u2019effacement, le droit \u00e0 la limitation du traitement, \u00e0 la portabilit\u00e9. C\u2019est au responsable de traitement qu\u2019il appartient de mettre en place les mesures visant \u00e0 faire respecter ces droits.<\/p>\n
        <\/p>\n
        <\/p>\n
        S\u00e9curiser les donn\u00e9es personnelles<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le responsable de traitement doit prendre les mesures n\u00e9cessaires afin de garantir la s\u00e9curisation des donn\u00e9es personnelles en r\u00e9duisant les risques de violations de donn\u00e9es en respectant notamment les principes suivants :<\/p>\n
        <\/p>\n
        <\/p>\n
        Le principe de confidentialit\u00e9 : les donn\u00e9es doivent \u00eatre accessibles aux seules personnes autoris\u00e9es<\/li>\n
        <\/p>\n
        Le principe d\u2019int\u00e9grit\u00e9 : les donn\u00e9es ne doivent pas \u00eatre alt\u00e9r\u00e9es ou modifi\u00e9es<\/li>\n
        <\/p>\n
        Le principe de disponibilit\u00e9 : les donn\u00e9es doivent \u00eatre en permanence accessibles aux personnes autoris\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Si un organisme subi une violation de donn\u00e9es, il doit proc\u00e9der \u00e0 un signalement \u00e0 la CNIL dans les 72 heures suivant la violation, si celle-ci est susceptible de repr\u00e9senter un risque pour les droits et libert\u00e9s des personnes concern\u00e9es.<\/p>\n
        <\/p>\n
        <\/p>\n
        Respecter le principe d\u2019accountability<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Ce principe d\u00e9signe l\u2019obligation pour les cabinets de mettre en \u0153uvre des m\u00e9canismes et des proc\u00e9dures internes permettant de d\u00e9montrer le respect des r\u00e8gles relatives \u00e0 la protection des donn\u00e9es.<\/p>\n
        <\/p>\n
        En cas de contr\u00f4le de la CNIL, la cabinet doit donc \u00eatre en mesure de d\u00e9montrer sa conformit\u00e9 au RGPD et les mesures prises \u00e0 cet effet.<\/p>\n
        <\/p>\n
        <\/p>\n
        R\u00e9vision des pratiques, contrats et lettre de mission rgpd expert-comptable<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Dans le cadre du processus de mise en conformit\u00e9, il est \u00e9galement n\u00e9cessaire de modifier tous les contrats de prestation et les lettres de mission du cabinet. L\u2019Ordre des experts comptables recommande en ce sens de revoir les contrats clients en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>\n
        <\/p>\n
        \u00c9galement, il est d\u00e9sormais exclu de communiquer des bulletins de paie par email. Il convient dor\u00e9navant d\u2019utiliser une plateforme<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quelles sont les nouvelles responsabilit\u00e9s qu\u2019implique le RGPD pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Au-del\u00e0 des responsabilit\u00e9s inh\u00e9rentes \u00e0 la qualit\u00e9 de responsable de traitement, le RGPD implique de nouvelles responsabilit\u00e9s pour les experts-comptables. Tout d\u2019abord, ils voient leur responsabilit\u00e9 renforc\u00e9e en mati\u00e8re de devoir d\u2019information et de conseil, du fait de leur devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit offrir \u00e0 ses clients \u00ab des garanties suffisantes quant \u00e0 la mise en \u0153uvre de mesures techniques et organisationnelles appropri\u00e9es de mani\u00e8re \u00e0 ce que le traitement r\u00e9ponde aux exigences du pr\u00e9sent r\u00e8glement et garantisse la protection des droits de la personne concern\u00e9e \u00bb (Art.28 RGPD).<\/p>
        <\/p>
        Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        <\/p>\n
        Conforter et renforcer l\u2019image de marque du cabinet<\/li>\n
        <\/p>\n
        Acqu\u00e9rir de nouveaux clients et de nouveaux march\u00e9s<\/li>\n
        <\/p>\n
        Remporter des appels d\u2019offre (les acheteurs publics ont l\u2019obligation de v\u00e9rifier la conformit\u00e9 RGPD des soumissionnaires \u00e0 appel d\u2019offres)<\/li>\n
        <\/p>\n
        Am\u00e9liorer l\u2019organisation interne et renforcer la confiance des collaborateurs de l\u2019organisme<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        \u00catre conforme RGPD est donc primordial.<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quel est le r\u00f4le de l\u2019expert-comptable dans l\u2019accompagnement de ses clients en mati\u00e8re de conformit\u00e9 RGPD\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        En application de l’article 155 du D\u00e9cret du 30 mars 2012 relatif \u00e0 l’exercice de l’activit\u00e9 d’expertise comptable, les experts-comptables sont tenus \u00e0 un devoir d\u2019information et de conseil \u00e0 l\u2019\u00e9gard de leurs clients ou adh\u00e9rents.<\/p>
        <\/p>
        D\u00e8s lors, dans sa qualit\u00e9 et son devoir de conseil, le r\u00f4le de l\u2019expert comptable est de veiller \u00e0 ce que ses clients respectent le RGPD, notamment \u00e0 l\u2019occasion de ses missions d\u2019audits ou de l\u2019\u00e9laboration de propositions offres d\u2019accompagnement. Pour \u00e9viter tout cas de contentieux en d\u00e9faut d’information et de conseil, les experts-comptables doivent donc \u00e0 minima informer leurs clients de leur obligation \u00e0 se mettre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Un partenariat entre la CNIL et le CSOEC a \u00e9t\u00e9 conclu en ce sens en 2020 afin notamment de diffuser une culture de la protection des donn\u00e9es personnelles aupr\u00e8s des experts-comptables, \u00e0 la fois pour la mise en conformit\u00e9 de leur propre structure mais \u00e9galement dans leur r\u00f4le de proximit\u00e9 aupr\u00e8s des entreprises.<\/p>
        <\/p>
        En effet, les experts-comptables ont une connaissance approfondie des risques li\u00e9s \u00e0 l\u2019activit\u00e9 de leurs clients et ils constituent un interlocuteur privil\u00e9gi\u00e9 pour r\u00e9pondre aux besoins de mise en conformit\u00e9 de ces derniers. Le CSOEC estime ainsi que \u00ab Les experts-comptables sont comp\u00e9tents en mati\u00e8re de protection des donn\u00e9es personnelles d\u00e8s lors qu\u2019ils ont d\u00e9j\u00e0 mis en place les obligations impos\u00e9es par le RGPD au sein de leurs cabinets. Ils peuvent donc proposer une mission dans laquelle ils accompagnent leurs entreprises clientes \u00e0 mettre en place le RGPD \u00bb.<\/p>
        <\/p>
        C’est dans ce contexte que l’expert-comptable est amen\u00e9 \u00e0 la fois \u00e0 alerter ses clients sur leur conformit\u00e9 RGPD et \u00e0 leur proposer des prestations de service relatives \u00e0 la mise en conformit\u00e9 RGPD.<\/p>
        <\/p>"}},{"@type":"Question","name":"Qu\u2019implique la mise en conformit\u00e9 au RGPD pour le cabinet d\u2019expertise comptable ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>\n
        Le processus de mise en conformit\u00e9 au RGPD implique de respecter la mise en \u0153uvre de plusieurs mesures, notamment :<\/p>\n
        <\/p>\n
        <\/p>\n
        Constituer un registre des traitements des donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Il permet au cabinet d\u2019avoir une vision d\u2019ensemble sur les traitements de donn\u00e9es qu\u2019il r\u00e9alise. Le registre requiert de proc\u00e9der \u00e0 une identification des activit\u00e9s principales du cabinet ayant recours au traitement de donn\u00e9es personnelles, c\u2019est ce qu\u2019on appelle les traitements. L’expert-comptable responsable de traitement ou le sous-traitant doit ainsi proc\u00e9der \u00e0 la cr\u00e9ation d\u2019une fiche pour chaque traitement recens\u00e9, en indiquant notamment sa finalit\u00e9, c\u2019est-\u00e0-dire l\u2019objectif en vue duquel les donn\u00e9es sont trait\u00e9es par le cabinet.<\/p>\n
        <\/p>\n
        Enfin, le registre doit \u00eatre mis \u00e0 jour r\u00e9guli\u00e8rement car les cabinets peuvent \u00eatre amen\u00e9s \u00e0 changer de logiciels, \u00e0 faire \u00e9voluer leur organisation interne ou \u00e0 changer de sous-traitants. La protection des donn\u00e9es doit donc \u00eatre continue.<\/p>\n
        <\/p>\n
        A noter : Il est vivement conseill\u00e9 de confier la tenue du registre de traitements au d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es (DPD) \/ data protection officer (DPO) qui se chargera de sa mise \u00e0 jour r\u00e9guli\u00e8rement.<\/em><\/p>\n
        <\/p>\n
        <\/p>\n
        Trier les donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le cabinet doit se limiter \u00e0 la collecte des donn\u00e9es strictement n\u00e9cessaires au traitement. C\u2019est le principe de minimisation des donn\u00e9es. Ainsi, les donn\u00e9es ne doivent \u00eatre trait\u00e9es que si :<\/p>\n
        <\/p>\n
        <\/p>\n
        elles sont n\u00e9cessaires \u00e0 l\u2019activit\u00e9 de l\u2019organisme ;<\/li>\n
        <\/p>\n
        il ne s\u2019agit pas de donn\u00e9es dites \u00ab sensibles \u00bb, dans le cas contraire il convient de s\u2019assurer que le cabinet a bien le droit de les traiter ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont accessibles uniquement aux personnes habilit\u00e9es ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont conserv\u00e9es uniquement le temps n\u00e9cessaire et\/ou r\u00e8glementaire ;<\/li>\n
        <\/p>\n
        Respecter les droits des personnes. <\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le RGPD a pour objectif de renforcer la protection des donn\u00e9es des personnes. C\u2019est pourquoi il est venu conf\u00e9rer \u00e0 ces derni\u00e8res un certain nombre de droits, notamment le droit d\u2019acc\u00e8s, de rectification, d\u2019opposition, d\u2019effacement, le droit \u00e0 la limitation du traitement, \u00e0 la portabilit\u00e9. C\u2019est au responsable de traitement qu\u2019il appartient de mettre en place les mesures visant \u00e0 faire respecter ces droits.<\/p>\n
        <\/p>\n
        <\/p>\n
        S\u00e9curiser les donn\u00e9es personnelles<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le responsable de traitement doit prendre les mesures n\u00e9cessaires afin de garantir la s\u00e9curisation des donn\u00e9es personnelles en r\u00e9duisant les risques de violations de donn\u00e9es en respectant notamment les principes suivants :<\/p>\n
        <\/p>\n
        <\/p>\n
        Le principe de confidentialit\u00e9 : les donn\u00e9es doivent \u00eatre accessibles aux seules personnes autoris\u00e9es<\/li>\n
        <\/p>\n
        Le principe d\u2019int\u00e9grit\u00e9 : les donn\u00e9es ne doivent pas \u00eatre alt\u00e9r\u00e9es ou modifi\u00e9es<\/li>\n
        <\/p>\n
        Le principe de disponibilit\u00e9 : les donn\u00e9es doivent \u00eatre en permanence accessibles aux personnes autoris\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Si un organisme subi une violation de donn\u00e9es, il doit proc\u00e9der \u00e0 un signalement \u00e0 la CNIL dans les 72 heures suivant la violation, si celle-ci est susceptible de repr\u00e9senter un risque pour les droits et libert\u00e9s des personnes concern\u00e9es.<\/p>\n
        <\/p>\n
        <\/p>\n
        Respecter le principe d\u2019accountability<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Ce principe d\u00e9signe l\u2019obligation pour les cabinets de mettre en \u0153uvre des m\u00e9canismes et des proc\u00e9dures internes permettant de d\u00e9montrer le respect des r\u00e8gles relatives \u00e0 la protection des donn\u00e9es.<\/p>\n
        <\/p>\n
        En cas de contr\u00f4le de la CNIL, la cabinet doit donc \u00eatre en mesure de d\u00e9montrer sa conformit\u00e9 au RGPD et les mesures prises \u00e0 cet effet.<\/p>\n
        <\/p>\n
        <\/p>\n
        R\u00e9vision des pratiques, contrats et lettre de mission rgpd expert-comptable<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Dans le cadre du processus de mise en conformit\u00e9, il est \u00e9galement n\u00e9cessaire de modifier tous les contrats de prestation et les lettres de mission du cabinet. L\u2019Ordre des experts comptables recommande en ce sens de revoir les contrats clients en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>\n
        <\/p>\n
        \u00c9galement, il est d\u00e9sormais exclu de communiquer des bulletins de paie par email. Il convient dor\u00e9navant d\u2019utiliser une plateforme<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quelles sont les nouvelles responsabilit\u00e9s qu\u2019implique le RGPD pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Au-del\u00e0 des responsabilit\u00e9s inh\u00e9rentes \u00e0 la qualit\u00e9 de responsable de traitement, le RGPD implique de nouvelles responsabilit\u00e9s pour les experts-comptables. Tout d\u2019abord, ils voient leur responsabilit\u00e9 renforc\u00e9e en mati\u00e8re de devoir d\u2019information et de conseil, du fait de leur devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit offrir \u00e0 ses clients \u00ab des garanties suffisantes quant \u00e0 la mise en \u0153uvre de mesures techniques et organisationnelles appropri\u00e9es de mani\u00e8re \u00e0 ce que le traitement r\u00e9ponde aux exigences du pr\u00e9sent r\u00e8glement et garantisse la protection des droits de la personne concern\u00e9e \u00bb (Art.28 RGPD).<\/p>
        <\/p>
        Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        <\/p>\n
        Accro\u00eetre la confiance des clients, partenaires et prospects gr\u00e2ce \u00e0 la transparence<\/li>\n
        <\/p>\n
        Conforter et renforcer l\u2019image de marque du cabinet<\/li>\n
        <\/p>\n
        Acqu\u00e9rir de nouveaux clients et de nouveaux march\u00e9s<\/li>\n
        <\/p>\n
        Remporter des appels d\u2019offre (les acheteurs publics ont l\u2019obligation de v\u00e9rifier la conformit\u00e9 RGPD des soumissionnaires \u00e0 appel d\u2019offres)<\/li>\n
        <\/p>\n
        Am\u00e9liorer l\u2019organisation interne et renforcer la confiance des collaborateurs de l\u2019organisme<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        \u00catre conforme RGPD est donc primordial.<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quel est le r\u00f4le de l\u2019expert-comptable dans l\u2019accompagnement de ses clients en mati\u00e8re de conformit\u00e9 RGPD\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        En application de l’article 155 du D\u00e9cret du 30 mars 2012 relatif \u00e0 l’exercice de l’activit\u00e9 d’expertise comptable, les experts-comptables sont tenus \u00e0 un devoir d\u2019information et de conseil \u00e0 l\u2019\u00e9gard de leurs clients ou adh\u00e9rents.<\/p>
        <\/p>
        D\u00e8s lors, dans sa qualit\u00e9 et son devoir de conseil, le r\u00f4le de l\u2019expert comptable est de veiller \u00e0 ce que ses clients respectent le RGPD, notamment \u00e0 l\u2019occasion de ses missions d\u2019audits ou de l\u2019\u00e9laboration de propositions offres d\u2019accompagnement. Pour \u00e9viter tout cas de contentieux en d\u00e9faut d’information et de conseil, les experts-comptables doivent donc \u00e0 minima informer leurs clients de leur obligation \u00e0 se mettre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Un partenariat entre la CNIL et le CSOEC a \u00e9t\u00e9 conclu en ce sens en 2020 afin notamment de diffuser une culture de la protection des donn\u00e9es personnelles aupr\u00e8s des experts-comptables, \u00e0 la fois pour la mise en conformit\u00e9 de leur propre structure mais \u00e9galement dans leur r\u00f4le de proximit\u00e9 aupr\u00e8s des entreprises.<\/p>
        <\/p>
        En effet, les experts-comptables ont une connaissance approfondie des risques li\u00e9s \u00e0 l\u2019activit\u00e9 de leurs clients et ils constituent un interlocuteur privil\u00e9gi\u00e9 pour r\u00e9pondre aux besoins de mise en conformit\u00e9 de ces derniers. Le CSOEC estime ainsi que \u00ab Les experts-comptables sont comp\u00e9tents en mati\u00e8re de protection des donn\u00e9es personnelles d\u00e8s lors qu\u2019ils ont d\u00e9j\u00e0 mis en place les obligations impos\u00e9es par le RGPD au sein de leurs cabinets. Ils peuvent donc proposer une mission dans laquelle ils accompagnent leurs entreprises clientes \u00e0 mettre en place le RGPD \u00bb.<\/p>
        <\/p>
        C’est dans ce contexte que l’expert-comptable est amen\u00e9 \u00e0 la fois \u00e0 alerter ses clients sur leur conformit\u00e9 RGPD et \u00e0 leur proposer des prestations de service relatives \u00e0 la mise en conformit\u00e9 RGPD.<\/p>
        <\/p>"}},{"@type":"Question","name":"Qu\u2019implique la mise en conformit\u00e9 au RGPD pour le cabinet d\u2019expertise comptable ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>\n
        Le processus de mise en conformit\u00e9 au RGPD implique de respecter la mise en \u0153uvre de plusieurs mesures, notamment :<\/p>\n
        <\/p>\n
        <\/p>\n
        Constituer un registre des traitements des donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Il permet au cabinet d\u2019avoir une vision d\u2019ensemble sur les traitements de donn\u00e9es qu\u2019il r\u00e9alise. Le registre requiert de proc\u00e9der \u00e0 une identification des activit\u00e9s principales du cabinet ayant recours au traitement de donn\u00e9es personnelles, c\u2019est ce qu\u2019on appelle les traitements. L’expert-comptable responsable de traitement ou le sous-traitant doit ainsi proc\u00e9der \u00e0 la cr\u00e9ation d\u2019une fiche pour chaque traitement recens\u00e9, en indiquant notamment sa finalit\u00e9, c\u2019est-\u00e0-dire l\u2019objectif en vue duquel les donn\u00e9es sont trait\u00e9es par le cabinet.<\/p>\n
        <\/p>\n
        Enfin, le registre doit \u00eatre mis \u00e0 jour r\u00e9guli\u00e8rement car les cabinets peuvent \u00eatre amen\u00e9s \u00e0 changer de logiciels, \u00e0 faire \u00e9voluer leur organisation interne ou \u00e0 changer de sous-traitants. La protection des donn\u00e9es doit donc \u00eatre continue.<\/p>\n
        <\/p>\n
        A noter : Il est vivement conseill\u00e9 de confier la tenue du registre de traitements au d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es (DPD) \/ data protection officer (DPO) qui se chargera de sa mise \u00e0 jour r\u00e9guli\u00e8rement.<\/em><\/p>\n
        <\/p>\n
        <\/p>\n
        Trier les donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le cabinet doit se limiter \u00e0 la collecte des donn\u00e9es strictement n\u00e9cessaires au traitement. C\u2019est le principe de minimisation des donn\u00e9es. Ainsi, les donn\u00e9es ne doivent \u00eatre trait\u00e9es que si :<\/p>\n
        <\/p>\n
        <\/p>\n
        elles sont n\u00e9cessaires \u00e0 l\u2019activit\u00e9 de l\u2019organisme ;<\/li>\n
        <\/p>\n
        il ne s\u2019agit pas de donn\u00e9es dites \u00ab sensibles \u00bb, dans le cas contraire il convient de s\u2019assurer que le cabinet a bien le droit de les traiter ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont accessibles uniquement aux personnes habilit\u00e9es ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont conserv\u00e9es uniquement le temps n\u00e9cessaire et\/ou r\u00e8glementaire ;<\/li>\n
        <\/p>\n
        Respecter les droits des personnes. <\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le RGPD a pour objectif de renforcer la protection des donn\u00e9es des personnes. C\u2019est pourquoi il est venu conf\u00e9rer \u00e0 ces derni\u00e8res un certain nombre de droits, notamment le droit d\u2019acc\u00e8s, de rectification, d\u2019opposition, d\u2019effacement, le droit \u00e0 la limitation du traitement, \u00e0 la portabilit\u00e9. C\u2019est au responsable de traitement qu\u2019il appartient de mettre en place les mesures visant \u00e0 faire respecter ces droits.<\/p>\n
        <\/p>\n
        <\/p>\n
        S\u00e9curiser les donn\u00e9es personnelles<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le responsable de traitement doit prendre les mesures n\u00e9cessaires afin de garantir la s\u00e9curisation des donn\u00e9es personnelles en r\u00e9duisant les risques de violations de donn\u00e9es en respectant notamment les principes suivants :<\/p>\n
        <\/p>\n
        <\/p>\n
        Le principe de confidentialit\u00e9 : les donn\u00e9es doivent \u00eatre accessibles aux seules personnes autoris\u00e9es<\/li>\n
        <\/p>\n
        Le principe d\u2019int\u00e9grit\u00e9 : les donn\u00e9es ne doivent pas \u00eatre alt\u00e9r\u00e9es ou modifi\u00e9es<\/li>\n
        <\/p>\n
        Le principe de disponibilit\u00e9 : les donn\u00e9es doivent \u00eatre en permanence accessibles aux personnes autoris\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Si un organisme subi une violation de donn\u00e9es, il doit proc\u00e9der \u00e0 un signalement \u00e0 la CNIL dans les 72 heures suivant la violation, si celle-ci est susceptible de repr\u00e9senter un risque pour les droits et libert\u00e9s des personnes concern\u00e9es.<\/p>\n
        <\/p>\n
        <\/p>\n
        Respecter le principe d\u2019accountability<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Ce principe d\u00e9signe l\u2019obligation pour les cabinets de mettre en \u0153uvre des m\u00e9canismes et des proc\u00e9dures internes permettant de d\u00e9montrer le respect des r\u00e8gles relatives \u00e0 la protection des donn\u00e9es.<\/p>\n
        <\/p>\n
        En cas de contr\u00f4le de la CNIL, la cabinet doit donc \u00eatre en mesure de d\u00e9montrer sa conformit\u00e9 au RGPD et les mesures prises \u00e0 cet effet.<\/p>\n
        <\/p>\n
        <\/p>\n
        R\u00e9vision des pratiques, contrats et lettre de mission rgpd expert-comptable<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Dans le cadre du processus de mise en conformit\u00e9, il est \u00e9galement n\u00e9cessaire de modifier tous les contrats de prestation et les lettres de mission du cabinet. L\u2019Ordre des experts comptables recommande en ce sens de revoir les contrats clients en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>\n
        <\/p>\n
        \u00c9galement, il est d\u00e9sormais exclu de communiquer des bulletins de paie par email. Il convient dor\u00e9navant d\u2019utiliser une plateforme<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quelles sont les nouvelles responsabilit\u00e9s qu\u2019implique le RGPD pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Au-del\u00e0 des responsabilit\u00e9s inh\u00e9rentes \u00e0 la qualit\u00e9 de responsable de traitement, le RGPD implique de nouvelles responsabilit\u00e9s pour les experts-comptables. Tout d\u2019abord, ils voient leur responsabilit\u00e9 renforc\u00e9e en mati\u00e8re de devoir d\u2019information et de conseil, du fait de leur devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit offrir \u00e0 ses clients \u00ab des garanties suffisantes quant \u00e0 la mise en \u0153uvre de mesures techniques et organisationnelles appropri\u00e9es de mani\u00e8re \u00e0 ce que le traitement r\u00e9ponde aux exigences du pr\u00e9sent r\u00e8glement et garantisse la protection des droits de la personne concern\u00e9e \u00bb (Art.28 RGPD).<\/p>
        <\/p>
        Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        
        <\/p>\n
        Valoriser la data en exploitant les donn\u00e9es de mani\u00e8re l\u00e9gale et qualitative<\/li>\n
        <\/p>\n
        Accro\u00eetre la confiance des clients, partenaires et prospects gr\u00e2ce \u00e0 la transparence<\/li>\n
        <\/p>\n
        Conforter et renforcer l\u2019image de marque du cabinet<\/li>\n
        <\/p>\n
        Acqu\u00e9rir de nouveaux clients et de nouveaux march\u00e9s<\/li>\n
        <\/p>\n
        Remporter des appels d\u2019offre (les acheteurs publics ont l\u2019obligation de v\u00e9rifier la conformit\u00e9 RGPD des soumissionnaires \u00e0 appel d\u2019offres)<\/li>\n
        <\/p>\n
        Am\u00e9liorer l\u2019organisation interne et renforcer la confiance des collaborateurs de l\u2019organisme<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        \u00catre conforme RGPD est donc primordial.<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quel est le r\u00f4le de l\u2019expert-comptable dans l\u2019accompagnement de ses clients en mati\u00e8re de conformit\u00e9 RGPD\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        En application de l’article 155 du D\u00e9cret du 30 mars 2012 relatif \u00e0 l’exercice de l’activit\u00e9 d’expertise comptable, les experts-comptables sont tenus \u00e0 un devoir d\u2019information et de conseil \u00e0 l\u2019\u00e9gard de leurs clients ou adh\u00e9rents.<\/p>
        <\/p>
        D\u00e8s lors, dans sa qualit\u00e9 et son devoir de conseil, le r\u00f4le de l\u2019expert comptable est de veiller \u00e0 ce que ses clients respectent le RGPD, notamment \u00e0 l\u2019occasion de ses missions d\u2019audits ou de l\u2019\u00e9laboration de propositions offres d\u2019accompagnement. Pour \u00e9viter tout cas de contentieux en d\u00e9faut d’information et de conseil, les experts-comptables doivent donc \u00e0 minima informer leurs clients de leur obligation \u00e0 se mettre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Un partenariat entre la CNIL et le CSOEC a \u00e9t\u00e9 conclu en ce sens en 2020 afin notamment de diffuser une culture de la protection des donn\u00e9es personnelles aupr\u00e8s des experts-comptables, \u00e0 la fois pour la mise en conformit\u00e9 de leur propre structure mais \u00e9galement dans leur r\u00f4le de proximit\u00e9 aupr\u00e8s des entreprises.<\/p>
        <\/p>
        En effet, les experts-comptables ont une connaissance approfondie des risques li\u00e9s \u00e0 l\u2019activit\u00e9 de leurs clients et ils constituent un interlocuteur privil\u00e9gi\u00e9 pour r\u00e9pondre aux besoins de mise en conformit\u00e9 de ces derniers. Le CSOEC estime ainsi que \u00ab Les experts-comptables sont comp\u00e9tents en mati\u00e8re de protection des donn\u00e9es personnelles d\u00e8s lors qu\u2019ils ont d\u00e9j\u00e0 mis en place les obligations impos\u00e9es par le RGPD au sein de leurs cabinets. Ils peuvent donc proposer une mission dans laquelle ils accompagnent leurs entreprises clientes \u00e0 mettre en place le RGPD \u00bb.<\/p>
        <\/p>
        C’est dans ce contexte que l’expert-comptable est amen\u00e9 \u00e0 la fois \u00e0 alerter ses clients sur leur conformit\u00e9 RGPD et \u00e0 leur proposer des prestations de service relatives \u00e0 la mise en conformit\u00e9 RGPD.<\/p>
        <\/p>"}},{"@type":"Question","name":"Qu\u2019implique la mise en conformit\u00e9 au RGPD pour le cabinet d\u2019expertise comptable ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>\n
        Le processus de mise en conformit\u00e9 au RGPD implique de respecter la mise en \u0153uvre de plusieurs mesures, notamment :<\/p>\n
        <\/p>\n
        <\/p>\n
        Constituer un registre des traitements des donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Il permet au cabinet d\u2019avoir une vision d\u2019ensemble sur les traitements de donn\u00e9es qu\u2019il r\u00e9alise. Le registre requiert de proc\u00e9der \u00e0 une identification des activit\u00e9s principales du cabinet ayant recours au traitement de donn\u00e9es personnelles, c\u2019est ce qu\u2019on appelle les traitements. L’expert-comptable responsable de traitement ou le sous-traitant doit ainsi proc\u00e9der \u00e0 la cr\u00e9ation d\u2019une fiche pour chaque traitement recens\u00e9, en indiquant notamment sa finalit\u00e9, c\u2019est-\u00e0-dire l\u2019objectif en vue duquel les donn\u00e9es sont trait\u00e9es par le cabinet.<\/p>\n
        <\/p>\n
        Enfin, le registre doit \u00eatre mis \u00e0 jour r\u00e9guli\u00e8rement car les cabinets peuvent \u00eatre amen\u00e9s \u00e0 changer de logiciels, \u00e0 faire \u00e9voluer leur organisation interne ou \u00e0 changer de sous-traitants. La protection des donn\u00e9es doit donc \u00eatre continue.<\/p>\n
        <\/p>\n
        A noter : Il est vivement conseill\u00e9 de confier la tenue du registre de traitements au d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es (DPD) \/ data protection officer (DPO) qui se chargera de sa mise \u00e0 jour r\u00e9guli\u00e8rement.<\/em><\/p>\n
        <\/p>\n
        <\/p>\n
        Trier les donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le cabinet doit se limiter \u00e0 la collecte des donn\u00e9es strictement n\u00e9cessaires au traitement. C\u2019est le principe de minimisation des donn\u00e9es. Ainsi, les donn\u00e9es ne doivent \u00eatre trait\u00e9es que si :<\/p>\n
        <\/p>\n
        <\/p>\n
        elles sont n\u00e9cessaires \u00e0 l\u2019activit\u00e9 de l\u2019organisme ;<\/li>\n
        <\/p>\n
        il ne s\u2019agit pas de donn\u00e9es dites \u00ab sensibles \u00bb, dans le cas contraire il convient de s\u2019assurer que le cabinet a bien le droit de les traiter ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont accessibles uniquement aux personnes habilit\u00e9es ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont conserv\u00e9es uniquement le temps n\u00e9cessaire et\/ou r\u00e8glementaire ;<\/li>\n
        <\/p>\n
        Respecter les droits des personnes. <\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le RGPD a pour objectif de renforcer la protection des donn\u00e9es des personnes. C\u2019est pourquoi il est venu conf\u00e9rer \u00e0 ces derni\u00e8res un certain nombre de droits, notamment le droit d\u2019acc\u00e8s, de rectification, d\u2019opposition, d\u2019effacement, le droit \u00e0 la limitation du traitement, \u00e0 la portabilit\u00e9. C\u2019est au responsable de traitement qu\u2019il appartient de mettre en place les mesures visant \u00e0 faire respecter ces droits.<\/p>\n
        <\/p>\n
        <\/p>\n
        S\u00e9curiser les donn\u00e9es personnelles<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le responsable de traitement doit prendre les mesures n\u00e9cessaires afin de garantir la s\u00e9curisation des donn\u00e9es personnelles en r\u00e9duisant les risques de violations de donn\u00e9es en respectant notamment les principes suivants :<\/p>\n
        <\/p>\n
        <\/p>\n
        Le principe de confidentialit\u00e9 : les donn\u00e9es doivent \u00eatre accessibles aux seules personnes autoris\u00e9es<\/li>\n
        <\/p>\n
        Le principe d\u2019int\u00e9grit\u00e9 : les donn\u00e9es ne doivent pas \u00eatre alt\u00e9r\u00e9es ou modifi\u00e9es<\/li>\n
        <\/p>\n
        Le principe de disponibilit\u00e9 : les donn\u00e9es doivent \u00eatre en permanence accessibles aux personnes autoris\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Si un organisme subi une violation de donn\u00e9es, il doit proc\u00e9der \u00e0 un signalement \u00e0 la CNIL dans les 72 heures suivant la violation, si celle-ci est susceptible de repr\u00e9senter un risque pour les droits et libert\u00e9s des personnes concern\u00e9es.<\/p>\n
        <\/p>\n
        <\/p>\n
        Respecter le principe d\u2019accountability<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Ce principe d\u00e9signe l\u2019obligation pour les cabinets de mettre en \u0153uvre des m\u00e9canismes et des proc\u00e9dures internes permettant de d\u00e9montrer le respect des r\u00e8gles relatives \u00e0 la protection des donn\u00e9es.<\/p>\n
        <\/p>\n
        En cas de contr\u00f4le de la CNIL, la cabinet doit donc \u00eatre en mesure de d\u00e9montrer sa conformit\u00e9 au RGPD et les mesures prises \u00e0 cet effet.<\/p>\n
        <\/p>\n
        <\/p>\n
        R\u00e9vision des pratiques, contrats et lettre de mission rgpd expert-comptable<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Dans le cadre du processus de mise en conformit\u00e9, il est \u00e9galement n\u00e9cessaire de modifier tous les contrats de prestation et les lettres de mission du cabinet. L\u2019Ordre des experts comptables recommande en ce sens de revoir les contrats clients en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>\n
        <\/p>\n
        \u00c9galement, il est d\u00e9sormais exclu de communiquer des bulletins de paie par email. Il convient dor\u00e9navant d\u2019utiliser une plateforme<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quelles sont les nouvelles responsabilit\u00e9s qu\u2019implique le RGPD pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Au-del\u00e0 des responsabilit\u00e9s inh\u00e9rentes \u00e0 la qualit\u00e9 de responsable de traitement, le RGPD implique de nouvelles responsabilit\u00e9s pour les experts-comptables. Tout d\u2019abord, ils voient leur responsabilit\u00e9 renforc\u00e9e en mati\u00e8re de devoir d\u2019information et de conseil, du fait de leur devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit offrir \u00e0 ses clients \u00ab des garanties suffisantes quant \u00e0 la mise en \u0153uvre de mesures techniques et organisationnelles appropri\u00e9es de mani\u00e8re \u00e0 ce que le traitement r\u00e9ponde aux exigences du pr\u00e9sent r\u00e8glement et garantisse la protection des droits de la personne concern\u00e9e \u00bb (Art.28 RGPD).<\/p>
        <\/p>
        Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        <\/p>\n
        <\/p>\n
        Valoriser la data en exploitant les donn\u00e9es de mani\u00e8re l\u00e9gale et qualitative<\/li>\n
        <\/p>\n
        Accro\u00eetre la confiance des clients, partenaires et prospects gr\u00e2ce \u00e0 la transparence<\/li>\n
        <\/p>\n
        Conforter et renforcer l\u2019image de marque du cabinet<\/li>\n
        <\/p>\n
        Acqu\u00e9rir de nouveaux clients et de nouveaux march\u00e9s<\/li>\n
        <\/p>\n
        Remporter des appels d\u2019offre (les acheteurs publics ont l\u2019obligation de v\u00e9rifier la conformit\u00e9 RGPD des soumissionnaires \u00e0 appel d\u2019offres)<\/li>\n
        <\/p>\n
        Am\u00e9liorer l\u2019organisation interne et renforcer la confiance des collaborateurs de l\u2019organisme<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        \u00catre conforme RGPD est donc primordial.<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quel est le r\u00f4le de l\u2019expert-comptable dans l\u2019accompagnement de ses clients en mati\u00e8re de conformit\u00e9 RGPD\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        En application de l’article 155 du D\u00e9cret du 30 mars 2012 relatif \u00e0 l’exercice de l’activit\u00e9 d’expertise comptable, les experts-comptables sont tenus \u00e0 un devoir d\u2019information et de conseil \u00e0 l\u2019\u00e9gard de leurs clients ou adh\u00e9rents.<\/p>
        <\/p>
        D\u00e8s lors, dans sa qualit\u00e9 et son devoir de conseil, le r\u00f4le de l\u2019expert comptable est de veiller \u00e0 ce que ses clients respectent le RGPD, notamment \u00e0 l\u2019occasion de ses missions d\u2019audits ou de l\u2019\u00e9laboration de propositions offres d\u2019accompagnement. Pour \u00e9viter tout cas de contentieux en d\u00e9faut d’information et de conseil, les experts-comptables doivent donc \u00e0 minima informer leurs clients de leur obligation \u00e0 se mettre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Un partenariat entre la CNIL et le CSOEC a \u00e9t\u00e9 conclu en ce sens en 2020 afin notamment de diffuser une culture de la protection des donn\u00e9es personnelles aupr\u00e8s des experts-comptables, \u00e0 la fois pour la mise en conformit\u00e9 de leur propre structure mais \u00e9galement dans leur r\u00f4le de proximit\u00e9 aupr\u00e8s des entreprises.<\/p>
        <\/p>
        En effet, les experts-comptables ont une connaissance approfondie des risques li\u00e9s \u00e0 l\u2019activit\u00e9 de leurs clients et ils constituent un interlocuteur privil\u00e9gi\u00e9 pour r\u00e9pondre aux besoins de mise en conformit\u00e9 de ces derniers. Le CSOEC estime ainsi que \u00ab Les experts-comptables sont comp\u00e9tents en mati\u00e8re de protection des donn\u00e9es personnelles d\u00e8s lors qu\u2019ils ont d\u00e9j\u00e0 mis en place les obligations impos\u00e9es par le RGPD au sein de leurs cabinets. Ils peuvent donc proposer une mission dans laquelle ils accompagnent leurs entreprises clientes \u00e0 mettre en place le RGPD \u00bb.<\/p>
        <\/p>
        C’est dans ce contexte que l’expert-comptable est amen\u00e9 \u00e0 la fois \u00e0 alerter ses clients sur leur conformit\u00e9 RGPD et \u00e0 leur proposer des prestations de service relatives \u00e0 la mise en conformit\u00e9 RGPD.<\/p>
        <\/p>"}},{"@type":"Question","name":"Qu\u2019implique la mise en conformit\u00e9 au RGPD pour le cabinet d\u2019expertise comptable ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>\n
        Le processus de mise en conformit\u00e9 au RGPD implique de respecter la mise en \u0153uvre de plusieurs mesures, notamment :<\/p>\n
        <\/p>\n
        <\/p>\n
        Constituer un registre des traitements des donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Il permet au cabinet d\u2019avoir une vision d\u2019ensemble sur les traitements de donn\u00e9es qu\u2019il r\u00e9alise. Le registre requiert de proc\u00e9der \u00e0 une identification des activit\u00e9s principales du cabinet ayant recours au traitement de donn\u00e9es personnelles, c\u2019est ce qu\u2019on appelle les traitements. L’expert-comptable responsable de traitement ou le sous-traitant doit ainsi proc\u00e9der \u00e0 la cr\u00e9ation d\u2019une fiche pour chaque traitement recens\u00e9, en indiquant notamment sa finalit\u00e9, c\u2019est-\u00e0-dire l\u2019objectif en vue duquel les donn\u00e9es sont trait\u00e9es par le cabinet.<\/p>\n
        <\/p>\n
        Enfin, le registre doit \u00eatre mis \u00e0 jour r\u00e9guli\u00e8rement car les cabinets peuvent \u00eatre amen\u00e9s \u00e0 changer de logiciels, \u00e0 faire \u00e9voluer leur organisation interne ou \u00e0 changer de sous-traitants. La protection des donn\u00e9es doit donc \u00eatre continue.<\/p>\n
        <\/p>\n
        A noter : Il est vivement conseill\u00e9 de confier la tenue du registre de traitements au d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es (DPD) \/ data protection officer (DPO) qui se chargera de sa mise \u00e0 jour r\u00e9guli\u00e8rement.<\/em><\/p>\n
        <\/p>\n
        <\/p>\n
        Trier les donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le cabinet doit se limiter \u00e0 la collecte des donn\u00e9es strictement n\u00e9cessaires au traitement. C\u2019est le principe de minimisation des donn\u00e9es. Ainsi, les donn\u00e9es ne doivent \u00eatre trait\u00e9es que si :<\/p>\n
        <\/p>\n
        <\/p>\n
        elles sont n\u00e9cessaires \u00e0 l\u2019activit\u00e9 de l\u2019organisme ;<\/li>\n
        <\/p>\n
        il ne s\u2019agit pas de donn\u00e9es dites \u00ab sensibles \u00bb, dans le cas contraire il convient de s\u2019assurer que le cabinet a bien le droit de les traiter ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont accessibles uniquement aux personnes habilit\u00e9es ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont conserv\u00e9es uniquement le temps n\u00e9cessaire et\/ou r\u00e8glementaire ;<\/li>\n
        <\/p>\n
        Respecter les droits des personnes. <\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le RGPD a pour objectif de renforcer la protection des donn\u00e9es des personnes. C\u2019est pourquoi il est venu conf\u00e9rer \u00e0 ces derni\u00e8res un certain nombre de droits, notamment le droit d\u2019acc\u00e8s, de rectification, d\u2019opposition, d\u2019effacement, le droit \u00e0 la limitation du traitement, \u00e0 la portabilit\u00e9. C\u2019est au responsable de traitement qu\u2019il appartient de mettre en place les mesures visant \u00e0 faire respecter ces droits.<\/p>\n
        <\/p>\n
        <\/p>\n
        S\u00e9curiser les donn\u00e9es personnelles<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le responsable de traitement doit prendre les mesures n\u00e9cessaires afin de garantir la s\u00e9curisation des donn\u00e9es personnelles en r\u00e9duisant les risques de violations de donn\u00e9es en respectant notamment les principes suivants :<\/p>\n
        <\/p>\n
        <\/p>\n
        Le principe de confidentialit\u00e9 : les donn\u00e9es doivent \u00eatre accessibles aux seules personnes autoris\u00e9es<\/li>\n
        <\/p>\n
        Le principe d\u2019int\u00e9grit\u00e9 : les donn\u00e9es ne doivent pas \u00eatre alt\u00e9r\u00e9es ou modifi\u00e9es<\/li>\n
        <\/p>\n
        Le principe de disponibilit\u00e9 : les donn\u00e9es doivent \u00eatre en permanence accessibles aux personnes autoris\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Si un organisme subi une violation de donn\u00e9es, il doit proc\u00e9der \u00e0 un signalement \u00e0 la CNIL dans les 72 heures suivant la violation, si celle-ci est susceptible de repr\u00e9senter un risque pour les droits et libert\u00e9s des personnes concern\u00e9es.<\/p>\n
        <\/p>\n
        <\/p>\n
        Respecter le principe d\u2019accountability<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Ce principe d\u00e9signe l\u2019obligation pour les cabinets de mettre en \u0153uvre des m\u00e9canismes et des proc\u00e9dures internes permettant de d\u00e9montrer le respect des r\u00e8gles relatives \u00e0 la protection des donn\u00e9es.<\/p>\n
        <\/p>\n
        En cas de contr\u00f4le de la CNIL, la cabinet doit donc \u00eatre en mesure de d\u00e9montrer sa conformit\u00e9 au RGPD et les mesures prises \u00e0 cet effet.<\/p>\n
        <\/p>\n
        <\/p>\n
        R\u00e9vision des pratiques, contrats et lettre de mission rgpd expert-comptable<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Dans le cadre du processus de mise en conformit\u00e9, il est \u00e9galement n\u00e9cessaire de modifier tous les contrats de prestation et les lettres de mission du cabinet. L\u2019Ordre des experts comptables recommande en ce sens de revoir les contrats clients en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>\n
        <\/p>\n
        \u00c9galement, il est d\u00e9sormais exclu de communiquer des bulletins de paie par email. Il convient dor\u00e9navant d\u2019utiliser une plateforme<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quelles sont les nouvelles responsabilit\u00e9s qu\u2019implique le RGPD pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Au-del\u00e0 des responsabilit\u00e9s inh\u00e9rentes \u00e0 la qualit\u00e9 de responsable de traitement, le RGPD implique de nouvelles responsabilit\u00e9s pour les experts-comptables. Tout d\u2019abord, ils voient leur responsabilit\u00e9 renforc\u00e9e en mati\u00e8re de devoir d\u2019information et de conseil, du fait de leur devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit offrir \u00e0 ses clients \u00ab des garanties suffisantes quant \u00e0 la mise en \u0153uvre de mesures techniques et organisationnelles appropri\u00e9es de mani\u00e8re \u00e0 ce que le traitement r\u00e9ponde aux exigences du pr\u00e9sent r\u00e8glement et garantisse la protection des droits de la personne concern\u00e9e \u00bb (Art.28 RGPD).<\/p>
        <\/p>
        Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        <\/p>\n
        Enfin, au-del\u00e0 d\u2019\u00eatre une obligation l\u00e9gale et r\u00e8glementaire et de constituer un risque accru de sanction, le RGPD est une v\u00e9ritable opportunit\u00e9 puisqu\u2019il permet de :<\/p>\n
        <\/p>\n
        <\/p>\n
        Valoriser la data en exploitant les donn\u00e9es de mani\u00e8re l\u00e9gale et qualitative<\/li>\n
        <\/p>\n
        Accro\u00eetre la confiance des clients, partenaires et prospects gr\u00e2ce \u00e0 la transparence<\/li>\n
        <\/p>\n
        Conforter et renforcer l\u2019image de marque du cabinet<\/li>\n
        <\/p>\n
        Acqu\u00e9rir de nouveaux clients et de nouveaux march\u00e9s<\/li>\n
        <\/p>\n
        Remporter des appels d\u2019offre (les acheteurs publics ont l\u2019obligation de v\u00e9rifier la conformit\u00e9 RGPD des soumissionnaires \u00e0 appel d\u2019offres)<\/li>\n
        <\/p>\n
        Am\u00e9liorer l\u2019organisation interne et renforcer la confiance des collaborateurs de l\u2019organisme<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        \u00catre conforme RGPD est donc primordial.<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quel est le r\u00f4le de l\u2019expert-comptable dans l\u2019accompagnement de ses clients en mati\u00e8re de conformit\u00e9 RGPD\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        En application de l’article 155 du D\u00e9cret du 30 mars 2012 relatif \u00e0 l’exercice de l’activit\u00e9 d’expertise comptable, les experts-comptables sont tenus \u00e0 un devoir d\u2019information et de conseil \u00e0 l\u2019\u00e9gard de leurs clients ou adh\u00e9rents.<\/p>
        <\/p>
        D\u00e8s lors, dans sa qualit\u00e9 et son devoir de conseil, le r\u00f4le de l\u2019expert comptable est de veiller \u00e0 ce que ses clients respectent le RGPD, notamment \u00e0 l\u2019occasion de ses missions d\u2019audits ou de l\u2019\u00e9laboration de propositions offres d\u2019accompagnement. Pour \u00e9viter tout cas de contentieux en d\u00e9faut d’information et de conseil, les experts-comptables doivent donc \u00e0 minima informer leurs clients de leur obligation \u00e0 se mettre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Un partenariat entre la CNIL et le CSOEC a \u00e9t\u00e9 conclu en ce sens en 2020 afin notamment de diffuser une culture de la protection des donn\u00e9es personnelles aupr\u00e8s des experts-comptables, \u00e0 la fois pour la mise en conformit\u00e9 de leur propre structure mais \u00e9galement dans leur r\u00f4le de proximit\u00e9 aupr\u00e8s des entreprises.<\/p>
        <\/p>
        En effet, les experts-comptables ont une connaissance approfondie des risques li\u00e9s \u00e0 l\u2019activit\u00e9 de leurs clients et ils constituent un interlocuteur privil\u00e9gi\u00e9 pour r\u00e9pondre aux besoins de mise en conformit\u00e9 de ces derniers. Le CSOEC estime ainsi que \u00ab Les experts-comptables sont comp\u00e9tents en mati\u00e8re de protection des donn\u00e9es personnelles d\u00e8s lors qu\u2019ils ont d\u00e9j\u00e0 mis en place les obligations impos\u00e9es par le RGPD au sein de leurs cabinets. Ils peuvent donc proposer une mission dans laquelle ils accompagnent leurs entreprises clientes \u00e0 mettre en place le RGPD \u00bb.<\/p>
        <\/p>
        C’est dans ce contexte que l’expert-comptable est amen\u00e9 \u00e0 la fois \u00e0 alerter ses clients sur leur conformit\u00e9 RGPD et \u00e0 leur proposer des prestations de service relatives \u00e0 la mise en conformit\u00e9 RGPD.<\/p>
        <\/p>"}},{"@type":"Question","name":"Qu\u2019implique la mise en conformit\u00e9 au RGPD pour le cabinet d\u2019expertise comptable ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>\n
        Le processus de mise en conformit\u00e9 au RGPD implique de respecter la mise en \u0153uvre de plusieurs mesures, notamment :<\/p>\n
        <\/p>\n
        <\/p>\n
        Constituer un registre des traitements des donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Il permet au cabinet d\u2019avoir une vision d\u2019ensemble sur les traitements de donn\u00e9es qu\u2019il r\u00e9alise. Le registre requiert de proc\u00e9der \u00e0 une identification des activit\u00e9s principales du cabinet ayant recours au traitement de donn\u00e9es personnelles, c\u2019est ce qu\u2019on appelle les traitements. L’expert-comptable responsable de traitement ou le sous-traitant doit ainsi proc\u00e9der \u00e0 la cr\u00e9ation d\u2019une fiche pour chaque traitement recens\u00e9, en indiquant notamment sa finalit\u00e9, c\u2019est-\u00e0-dire l\u2019objectif en vue duquel les donn\u00e9es sont trait\u00e9es par le cabinet.<\/p>\n
        <\/p>\n
        Enfin, le registre doit \u00eatre mis \u00e0 jour r\u00e9guli\u00e8rement car les cabinets peuvent \u00eatre amen\u00e9s \u00e0 changer de logiciels, \u00e0 faire \u00e9voluer leur organisation interne ou \u00e0 changer de sous-traitants. La protection des donn\u00e9es doit donc \u00eatre continue.<\/p>\n
        <\/p>\n
        A noter : Il est vivement conseill\u00e9 de confier la tenue du registre de traitements au d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es (DPD) \/ data protection officer (DPO) qui se chargera de sa mise \u00e0 jour r\u00e9guli\u00e8rement.<\/em><\/p>\n
        <\/p>\n
        <\/p>\n
        Trier les donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le cabinet doit se limiter \u00e0 la collecte des donn\u00e9es strictement n\u00e9cessaires au traitement. C\u2019est le principe de minimisation des donn\u00e9es. Ainsi, les donn\u00e9es ne doivent \u00eatre trait\u00e9es que si :<\/p>\n
        <\/p>\n
        <\/p>\n
        elles sont n\u00e9cessaires \u00e0 l\u2019activit\u00e9 de l\u2019organisme ;<\/li>\n
        <\/p>\n
        il ne s\u2019agit pas de donn\u00e9es dites \u00ab sensibles \u00bb, dans le cas contraire il convient de s\u2019assurer que le cabinet a bien le droit de les traiter ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont accessibles uniquement aux personnes habilit\u00e9es ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont conserv\u00e9es uniquement le temps n\u00e9cessaire et\/ou r\u00e8glementaire ;<\/li>\n
        <\/p>\n
        Respecter les droits des personnes. <\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le RGPD a pour objectif de renforcer la protection des donn\u00e9es des personnes. C\u2019est pourquoi il est venu conf\u00e9rer \u00e0 ces derni\u00e8res un certain nombre de droits, notamment le droit d\u2019acc\u00e8s, de rectification, d\u2019opposition, d\u2019effacement, le droit \u00e0 la limitation du traitement, \u00e0 la portabilit\u00e9. C\u2019est au responsable de traitement qu\u2019il appartient de mettre en place les mesures visant \u00e0 faire respecter ces droits.<\/p>\n
        <\/p>\n
        <\/p>\n
        S\u00e9curiser les donn\u00e9es personnelles<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le responsable de traitement doit prendre les mesures n\u00e9cessaires afin de garantir la s\u00e9curisation des donn\u00e9es personnelles en r\u00e9duisant les risques de violations de donn\u00e9es en respectant notamment les principes suivants :<\/p>\n
        <\/p>\n
        <\/p>\n
        Le principe de confidentialit\u00e9 : les donn\u00e9es doivent \u00eatre accessibles aux seules personnes autoris\u00e9es<\/li>\n
        <\/p>\n
        Le principe d\u2019int\u00e9grit\u00e9 : les donn\u00e9es ne doivent pas \u00eatre alt\u00e9r\u00e9es ou modifi\u00e9es<\/li>\n
        <\/p>\n
        Le principe de disponibilit\u00e9 : les donn\u00e9es doivent \u00eatre en permanence accessibles aux personnes autoris\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Si un organisme subi une violation de donn\u00e9es, il doit proc\u00e9der \u00e0 un signalement \u00e0 la CNIL dans les 72 heures suivant la violation, si celle-ci est susceptible de repr\u00e9senter un risque pour les droits et libert\u00e9s des personnes concern\u00e9es.<\/p>\n
        <\/p>\n
        <\/p>\n
        Respecter le principe d\u2019accountability<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Ce principe d\u00e9signe l\u2019obligation pour les cabinets de mettre en \u0153uvre des m\u00e9canismes et des proc\u00e9dures internes permettant de d\u00e9montrer le respect des r\u00e8gles relatives \u00e0 la protection des donn\u00e9es.<\/p>\n
        <\/p>\n
        En cas de contr\u00f4le de la CNIL, la cabinet doit donc \u00eatre en mesure de d\u00e9montrer sa conformit\u00e9 au RGPD et les mesures prises \u00e0 cet effet.<\/p>\n
        <\/p>\n
        <\/p>\n
        R\u00e9vision des pratiques, contrats et lettre de mission rgpd expert-comptable<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Dans le cadre du processus de mise en conformit\u00e9, il est \u00e9galement n\u00e9cessaire de modifier tous les contrats de prestation et les lettres de mission du cabinet. L\u2019Ordre des experts comptables recommande en ce sens de revoir les contrats clients en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>\n
        <\/p>\n
        \u00c9galement, il est d\u00e9sormais exclu de communiquer des bulletins de paie par email. Il convient dor\u00e9navant d\u2019utiliser une plateforme<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quelles sont les nouvelles responsabilit\u00e9s qu\u2019implique le RGPD pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Au-del\u00e0 des responsabilit\u00e9s inh\u00e9rentes \u00e0 la qualit\u00e9 de responsable de traitement, le RGPD implique de nouvelles responsabilit\u00e9s pour les experts-comptables. Tout d\u2019abord, ils voient leur responsabilit\u00e9 renforc\u00e9e en mati\u00e8re de devoir d\u2019information et de conseil, du fait de leur devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit offrir \u00e0 ses clients \u00ab des garanties suffisantes quant \u00e0 la mise en \u0153uvre de mesures techniques et organisationnelles appropri\u00e9es de mani\u00e8re \u00e0 ce que le traitement r\u00e9ponde aux exigences du pr\u00e9sent r\u00e8glement et garantisse la protection des droits de la personne concern\u00e9e \u00bb (Art.28 RGPD).<\/p>
        <\/p>
        Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        <\/p>\n
        Ensuite, les organisations non conformes au RGPD s\u2019exposent \u00e0 de forts risques de sanctions dont notamment des amendes administratives pouvant s\u2019\u00e9lever \u00e0 hauteur de 2 ou 4% du chiffre d’affaires annuel mondial de l\u2019entreprise.<\/p>\n
        <\/p>\n
        Enfin, au-del\u00e0 d\u2019\u00eatre une obligation l\u00e9gale et r\u00e8glementaire et de constituer un risque accru de sanction, le RGPD est une v\u00e9ritable opportunit\u00e9 puisqu\u2019il permet de :<\/p>\n
        <\/p>\n
        <\/p>\n
        Valoriser la data en exploitant les donn\u00e9es de mani\u00e8re l\u00e9gale et qualitative<\/li>\n
        <\/p>\n
        Accro\u00eetre la confiance des clients, partenaires et prospects gr\u00e2ce \u00e0 la transparence<\/li>\n
        <\/p>\n
        Conforter et renforcer l\u2019image de marque du cabinet<\/li>\n
        <\/p>\n
        Acqu\u00e9rir de nouveaux clients et de nouveaux march\u00e9s<\/li>\n
        <\/p>\n
        Remporter des appels d\u2019offre (les acheteurs publics ont l\u2019obligation de v\u00e9rifier la conformit\u00e9 RGPD des soumissionnaires \u00e0 appel d\u2019offres)<\/li>\n
        <\/p>\n
        Am\u00e9liorer l\u2019organisation interne et renforcer la confiance des collaborateurs de l\u2019organisme<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        \u00catre conforme RGPD est donc primordial.<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quel est le r\u00f4le de l\u2019expert-comptable dans l\u2019accompagnement de ses clients en mati\u00e8re de conformit\u00e9 RGPD\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        En application de l’article 155 du D\u00e9cret du 30 mars 2012 relatif \u00e0 l’exercice de l’activit\u00e9 d’expertise comptable, les experts-comptables sont tenus \u00e0 un devoir d\u2019information et de conseil \u00e0 l\u2019\u00e9gard de leurs clients ou adh\u00e9rents.<\/p>
        <\/p>
        D\u00e8s lors, dans sa qualit\u00e9 et son devoir de conseil, le r\u00f4le de l\u2019expert comptable est de veiller \u00e0 ce que ses clients respectent le RGPD, notamment \u00e0 l\u2019occasion de ses missions d\u2019audits ou de l\u2019\u00e9laboration de propositions offres d\u2019accompagnement. Pour \u00e9viter tout cas de contentieux en d\u00e9faut d’information et de conseil, les experts-comptables doivent donc \u00e0 minima informer leurs clients de leur obligation \u00e0 se mettre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Un partenariat entre la CNIL et le CSOEC a \u00e9t\u00e9 conclu en ce sens en 2020 afin notamment de diffuser une culture de la protection des donn\u00e9es personnelles aupr\u00e8s des experts-comptables, \u00e0 la fois pour la mise en conformit\u00e9 de leur propre structure mais \u00e9galement dans leur r\u00f4le de proximit\u00e9 aupr\u00e8s des entreprises.<\/p>
        <\/p>
        En effet, les experts-comptables ont une connaissance approfondie des risques li\u00e9s \u00e0 l\u2019activit\u00e9 de leurs clients et ils constituent un interlocuteur privil\u00e9gi\u00e9 pour r\u00e9pondre aux besoins de mise en conformit\u00e9 de ces derniers. Le CSOEC estime ainsi que \u00ab Les experts-comptables sont comp\u00e9tents en mati\u00e8re de protection des donn\u00e9es personnelles d\u00e8s lors qu\u2019ils ont d\u00e9j\u00e0 mis en place les obligations impos\u00e9es par le RGPD au sein de leurs cabinets. Ils peuvent donc proposer une mission dans laquelle ils accompagnent leurs entreprises clientes \u00e0 mettre en place le RGPD \u00bb.<\/p>
        <\/p>
        C’est dans ce contexte que l’expert-comptable est amen\u00e9 \u00e0 la fois \u00e0 alerter ses clients sur leur conformit\u00e9 RGPD et \u00e0 leur proposer des prestations de service relatives \u00e0 la mise en conformit\u00e9 RGPD.<\/p>
        <\/p>"}},{"@type":"Question","name":"Qu\u2019implique la mise en conformit\u00e9 au RGPD pour le cabinet d\u2019expertise comptable ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>\n
        Le processus de mise en conformit\u00e9 au RGPD implique de respecter la mise en \u0153uvre de plusieurs mesures, notamment :<\/p>\n
        <\/p>\n
        <\/p>\n
        Constituer un registre des traitements des donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Il permet au cabinet d\u2019avoir une vision d\u2019ensemble sur les traitements de donn\u00e9es qu\u2019il r\u00e9alise. Le registre requiert de proc\u00e9der \u00e0 une identification des activit\u00e9s principales du cabinet ayant recours au traitement de donn\u00e9es personnelles, c\u2019est ce qu\u2019on appelle les traitements. L’expert-comptable responsable de traitement ou le sous-traitant doit ainsi proc\u00e9der \u00e0 la cr\u00e9ation d\u2019une fiche pour chaque traitement recens\u00e9, en indiquant notamment sa finalit\u00e9, c\u2019est-\u00e0-dire l\u2019objectif en vue duquel les donn\u00e9es sont trait\u00e9es par le cabinet.<\/p>\n
        <\/p>\n
        Enfin, le registre doit \u00eatre mis \u00e0 jour r\u00e9guli\u00e8rement car les cabinets peuvent \u00eatre amen\u00e9s \u00e0 changer de logiciels, \u00e0 faire \u00e9voluer leur organisation interne ou \u00e0 changer de sous-traitants. La protection des donn\u00e9es doit donc \u00eatre continue.<\/p>\n
        <\/p>\n
        A noter : Il est vivement conseill\u00e9 de confier la tenue du registre de traitements au d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es (DPD) \/ data protection officer (DPO) qui se chargera de sa mise \u00e0 jour r\u00e9guli\u00e8rement.<\/em><\/p>\n
        <\/p>\n
        <\/p>\n
        Trier les donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le cabinet doit se limiter \u00e0 la collecte des donn\u00e9es strictement n\u00e9cessaires au traitement. C\u2019est le principe de minimisation des donn\u00e9es. Ainsi, les donn\u00e9es ne doivent \u00eatre trait\u00e9es que si :<\/p>\n
        <\/p>\n
        <\/p>\n
        elles sont n\u00e9cessaires \u00e0 l\u2019activit\u00e9 de l\u2019organisme ;<\/li>\n
        <\/p>\n
        il ne s\u2019agit pas de donn\u00e9es dites \u00ab sensibles \u00bb, dans le cas contraire il convient de s\u2019assurer que le cabinet a bien le droit de les traiter ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont accessibles uniquement aux personnes habilit\u00e9es ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont conserv\u00e9es uniquement le temps n\u00e9cessaire et\/ou r\u00e8glementaire ;<\/li>\n
        <\/p>\n
        Respecter les droits des personnes. <\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le RGPD a pour objectif de renforcer la protection des donn\u00e9es des personnes. C\u2019est pourquoi il est venu conf\u00e9rer \u00e0 ces derni\u00e8res un certain nombre de droits, notamment le droit d\u2019acc\u00e8s, de rectification, d\u2019opposition, d\u2019effacement, le droit \u00e0 la limitation du traitement, \u00e0 la portabilit\u00e9. C\u2019est au responsable de traitement qu\u2019il appartient de mettre en place les mesures visant \u00e0 faire respecter ces droits.<\/p>\n
        <\/p>\n
        <\/p>\n
        S\u00e9curiser les donn\u00e9es personnelles<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le responsable de traitement doit prendre les mesures n\u00e9cessaires afin de garantir la s\u00e9curisation des donn\u00e9es personnelles en r\u00e9duisant les risques de violations de donn\u00e9es en respectant notamment les principes suivants :<\/p>\n
        <\/p>\n
        <\/p>\n
        Le principe de confidentialit\u00e9 : les donn\u00e9es doivent \u00eatre accessibles aux seules personnes autoris\u00e9es<\/li>\n
        <\/p>\n
        Le principe d\u2019int\u00e9grit\u00e9 : les donn\u00e9es ne doivent pas \u00eatre alt\u00e9r\u00e9es ou modifi\u00e9es<\/li>\n
        <\/p>\n
        Le principe de disponibilit\u00e9 : les donn\u00e9es doivent \u00eatre en permanence accessibles aux personnes autoris\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Si un organisme subi une violation de donn\u00e9es, il doit proc\u00e9der \u00e0 un signalement \u00e0 la CNIL dans les 72 heures suivant la violation, si celle-ci est susceptible de repr\u00e9senter un risque pour les droits et libert\u00e9s des personnes concern\u00e9es.<\/p>\n
        <\/p>\n
        <\/p>\n
        Respecter le principe d\u2019accountability<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Ce principe d\u00e9signe l\u2019obligation pour les cabinets de mettre en \u0153uvre des m\u00e9canismes et des proc\u00e9dures internes permettant de d\u00e9montrer le respect des r\u00e8gles relatives \u00e0 la protection des donn\u00e9es.<\/p>\n
        <\/p>\n
        En cas de contr\u00f4le de la CNIL, la cabinet doit donc \u00eatre en mesure de d\u00e9montrer sa conformit\u00e9 au RGPD et les mesures prises \u00e0 cet effet.<\/p>\n
        <\/p>\n
        <\/p>\n
        R\u00e9vision des pratiques, contrats et lettre de mission rgpd expert-comptable<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Dans le cadre du processus de mise en conformit\u00e9, il est \u00e9galement n\u00e9cessaire de modifier tous les contrats de prestation et les lettres de mission du cabinet. L\u2019Ordre des experts comptables recommande en ce sens de revoir les contrats clients en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>\n
        <\/p>\n
        \u00c9galement, il est d\u00e9sormais exclu de communiquer des bulletins de paie par email. Il convient dor\u00e9navant d\u2019utiliser une plateforme<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quelles sont les nouvelles responsabilit\u00e9s qu\u2019implique le RGPD pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Au-del\u00e0 des responsabilit\u00e9s inh\u00e9rentes \u00e0 la qualit\u00e9 de responsable de traitement, le RGPD implique de nouvelles responsabilit\u00e9s pour les experts-comptables. Tout d\u2019abord, ils voient leur responsabilit\u00e9 renforc\u00e9e en mati\u00e8re de devoir d\u2019information et de conseil, du fait de leur devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit offrir \u00e0 ses clients \u00ab des garanties suffisantes quant \u00e0 la mise en \u0153uvre de mesures techniques et organisationnelles appropri\u00e9es de mani\u00e8re \u00e0 ce que le traitement r\u00e9ponde aux exigences du pr\u00e9sent r\u00e8glement et garantisse la protection des droits de la personne concern\u00e9e \u00bb (Art.28 RGPD).<\/p>
        <\/p>
        Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        <\/p>\n
        Tout d\u2019abord, il s\u2019agit d\u2019une obligation impos\u00e9e \u00e0 tout organisme, public ou priv\u00e9, traitant des donn\u00e9es personnelles d\u00e8s lors que celui-ci est \u00e9tabli sur le territoire de l\u2019Union europ\u00e9enne ou que son activit\u00e9 cible directement des r\u00e9sidents europ\u00e9ens.<\/p>\n
        <\/p>\n
        Ensuite, les organisations non conformes au RGPD s\u2019exposent \u00e0 de forts risques de sanctions dont notamment des amendes administratives pouvant s\u2019\u00e9lever \u00e0 hauteur de 2 ou 4% du chiffre d’affaires annuel mondial de l\u2019entreprise.<\/p>\n
        <\/p>\n
        Enfin, au-del\u00e0 d\u2019\u00eatre une obligation l\u00e9gale et r\u00e8glementaire et de constituer un risque accru de sanction, le RGPD est une v\u00e9ritable opportunit\u00e9 puisqu\u2019il permet de :<\/p>\n
        <\/p>\n
        <\/p>\n
        Valoriser la data en exploitant les donn\u00e9es de mani\u00e8re l\u00e9gale et qualitative<\/li>\n
        <\/p>\n
        Accro\u00eetre la confiance des clients, partenaires et prospects gr\u00e2ce \u00e0 la transparence<\/li>\n
        <\/p>\n
        Conforter et renforcer l\u2019image de marque du cabinet<\/li>\n
        <\/p>\n
        Acqu\u00e9rir de nouveaux clients et de nouveaux march\u00e9s<\/li>\n
        <\/p>\n
        Remporter des appels d\u2019offre (les acheteurs publics ont l\u2019obligation de v\u00e9rifier la conformit\u00e9 RGPD des soumissionnaires \u00e0 appel d\u2019offres)<\/li>\n
        <\/p>\n
        Am\u00e9liorer l\u2019organisation interne et renforcer la confiance des collaborateurs de l\u2019organisme<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        \u00catre conforme RGPD est donc primordial.<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quel est le r\u00f4le de l\u2019expert-comptable dans l\u2019accompagnement de ses clients en mati\u00e8re de conformit\u00e9 RGPD\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        En application de l’article 155 du D\u00e9cret du 30 mars 2012 relatif \u00e0 l’exercice de l’activit\u00e9 d’expertise comptable, les experts-comptables sont tenus \u00e0 un devoir d\u2019information et de conseil \u00e0 l\u2019\u00e9gard de leurs clients ou adh\u00e9rents.<\/p>
        <\/p>
        D\u00e8s lors, dans sa qualit\u00e9 et son devoir de conseil, le r\u00f4le de l\u2019expert comptable est de veiller \u00e0 ce que ses clients respectent le RGPD, notamment \u00e0 l\u2019occasion de ses missions d\u2019audits ou de l\u2019\u00e9laboration de propositions offres d\u2019accompagnement. Pour \u00e9viter tout cas de contentieux en d\u00e9faut d’information et de conseil, les experts-comptables doivent donc \u00e0 minima informer leurs clients de leur obligation \u00e0 se mettre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Un partenariat entre la CNIL et le CSOEC a \u00e9t\u00e9 conclu en ce sens en 2020 afin notamment de diffuser une culture de la protection des donn\u00e9es personnelles aupr\u00e8s des experts-comptables, \u00e0 la fois pour la mise en conformit\u00e9 de leur propre structure mais \u00e9galement dans leur r\u00f4le de proximit\u00e9 aupr\u00e8s des entreprises.<\/p>
        <\/p>
        En effet, les experts-comptables ont une connaissance approfondie des risques li\u00e9s \u00e0 l\u2019activit\u00e9 de leurs clients et ils constituent un interlocuteur privil\u00e9gi\u00e9 pour r\u00e9pondre aux besoins de mise en conformit\u00e9 de ces derniers. Le CSOEC estime ainsi que \u00ab Les experts-comptables sont comp\u00e9tents en mati\u00e8re de protection des donn\u00e9es personnelles d\u00e8s lors qu\u2019ils ont d\u00e9j\u00e0 mis en place les obligations impos\u00e9es par le RGPD au sein de leurs cabinets. Ils peuvent donc proposer une mission dans laquelle ils accompagnent leurs entreprises clientes \u00e0 mettre en place le RGPD \u00bb.<\/p>
        <\/p>
        C’est dans ce contexte que l’expert-comptable est amen\u00e9 \u00e0 la fois \u00e0 alerter ses clients sur leur conformit\u00e9 RGPD et \u00e0 leur proposer des prestations de service relatives \u00e0 la mise en conformit\u00e9 RGPD.<\/p>
        <\/p>"}},{"@type":"Question","name":"Qu\u2019implique la mise en conformit\u00e9 au RGPD pour le cabinet d\u2019expertise comptable ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>\n
        Le processus de mise en conformit\u00e9 au RGPD implique de respecter la mise en \u0153uvre de plusieurs mesures, notamment :<\/p>\n
        <\/p>\n
        <\/p>\n
        Constituer un registre des traitements des donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Il permet au cabinet d\u2019avoir une vision d\u2019ensemble sur les traitements de donn\u00e9es qu\u2019il r\u00e9alise. Le registre requiert de proc\u00e9der \u00e0 une identification des activit\u00e9s principales du cabinet ayant recours au traitement de donn\u00e9es personnelles, c\u2019est ce qu\u2019on appelle les traitements. L’expert-comptable responsable de traitement ou le sous-traitant doit ainsi proc\u00e9der \u00e0 la cr\u00e9ation d\u2019une fiche pour chaque traitement recens\u00e9, en indiquant notamment sa finalit\u00e9, c\u2019est-\u00e0-dire l\u2019objectif en vue duquel les donn\u00e9es sont trait\u00e9es par le cabinet.<\/p>\n
        <\/p>\n
        Enfin, le registre doit \u00eatre mis \u00e0 jour r\u00e9guli\u00e8rement car les cabinets peuvent \u00eatre amen\u00e9s \u00e0 changer de logiciels, \u00e0 faire \u00e9voluer leur organisation interne ou \u00e0 changer de sous-traitants. La protection des donn\u00e9es doit donc \u00eatre continue.<\/p>\n
        <\/p>\n
        A noter : Il est vivement conseill\u00e9 de confier la tenue du registre de traitements au d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es (DPD) \/ data protection officer (DPO) qui se chargera de sa mise \u00e0 jour r\u00e9guli\u00e8rement.<\/em><\/p>\n
        <\/p>\n
        <\/p>\n
        Trier les donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le cabinet doit se limiter \u00e0 la collecte des donn\u00e9es strictement n\u00e9cessaires au traitement. C\u2019est le principe de minimisation des donn\u00e9es. Ainsi, les donn\u00e9es ne doivent \u00eatre trait\u00e9es que si :<\/p>\n
        <\/p>\n
        <\/p>\n
        elles sont n\u00e9cessaires \u00e0 l\u2019activit\u00e9 de l\u2019organisme ;<\/li>\n
        <\/p>\n
        il ne s\u2019agit pas de donn\u00e9es dites \u00ab sensibles \u00bb, dans le cas contraire il convient de s\u2019assurer que le cabinet a bien le droit de les traiter ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont accessibles uniquement aux personnes habilit\u00e9es ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont conserv\u00e9es uniquement le temps n\u00e9cessaire et\/ou r\u00e8glementaire ;<\/li>\n
        <\/p>\n
        Respecter les droits des personnes. <\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le RGPD a pour objectif de renforcer la protection des donn\u00e9es des personnes. C\u2019est pourquoi il est venu conf\u00e9rer \u00e0 ces derni\u00e8res un certain nombre de droits, notamment le droit d\u2019acc\u00e8s, de rectification, d\u2019opposition, d\u2019effacement, le droit \u00e0 la limitation du traitement, \u00e0 la portabilit\u00e9. C\u2019est au responsable de traitement qu\u2019il appartient de mettre en place les mesures visant \u00e0 faire respecter ces droits.<\/p>\n
        <\/p>\n
        <\/p>\n
        S\u00e9curiser les donn\u00e9es personnelles<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le responsable de traitement doit prendre les mesures n\u00e9cessaires afin de garantir la s\u00e9curisation des donn\u00e9es personnelles en r\u00e9duisant les risques de violations de donn\u00e9es en respectant notamment les principes suivants :<\/p>\n
        <\/p>\n
        <\/p>\n
        Le principe de confidentialit\u00e9 : les donn\u00e9es doivent \u00eatre accessibles aux seules personnes autoris\u00e9es<\/li>\n
        <\/p>\n
        Le principe d\u2019int\u00e9grit\u00e9 : les donn\u00e9es ne doivent pas \u00eatre alt\u00e9r\u00e9es ou modifi\u00e9es<\/li>\n
        <\/p>\n
        Le principe de disponibilit\u00e9 : les donn\u00e9es doivent \u00eatre en permanence accessibles aux personnes autoris\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Si un organisme subi une violation de donn\u00e9es, il doit proc\u00e9der \u00e0 un signalement \u00e0 la CNIL dans les 72 heures suivant la violation, si celle-ci est susceptible de repr\u00e9senter un risque pour les droits et libert\u00e9s des personnes concern\u00e9es.<\/p>\n
        <\/p>\n
        <\/p>\n
        Respecter le principe d\u2019accountability<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Ce principe d\u00e9signe l\u2019obligation pour les cabinets de mettre en \u0153uvre des m\u00e9canismes et des proc\u00e9dures internes permettant de d\u00e9montrer le respect des r\u00e8gles relatives \u00e0 la protection des donn\u00e9es.<\/p>\n
        <\/p>\n
        En cas de contr\u00f4le de la CNIL, la cabinet doit donc \u00eatre en mesure de d\u00e9montrer sa conformit\u00e9 au RGPD et les mesures prises \u00e0 cet effet.<\/p>\n
        <\/p>\n
        <\/p>\n
        R\u00e9vision des pratiques, contrats et lettre de mission rgpd expert-comptable<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Dans le cadre du processus de mise en conformit\u00e9, il est \u00e9galement n\u00e9cessaire de modifier tous les contrats de prestation et les lettres de mission du cabinet. L\u2019Ordre des experts comptables recommande en ce sens de revoir les contrats clients en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>\n
        <\/p>\n
        \u00c9galement, il est d\u00e9sormais exclu de communiquer des bulletins de paie par email. Il convient dor\u00e9navant d\u2019utiliser une plateforme<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quelles sont les nouvelles responsabilit\u00e9s qu\u2019implique le RGPD pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Au-del\u00e0 des responsabilit\u00e9s inh\u00e9rentes \u00e0 la qualit\u00e9 de responsable de traitement, le RGPD implique de nouvelles responsabilit\u00e9s pour les experts-comptables. Tout d\u2019abord, ils voient leur responsabilit\u00e9 renforc\u00e9e en mati\u00e8re de devoir d\u2019information et de conseil, du fait de leur devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit offrir \u00e0 ses clients \u00ab des garanties suffisantes quant \u00e0 la mise en \u0153uvre de mesures techniques et organisationnelles appropri\u00e9es de mani\u00e8re \u00e0 ce que le traitement r\u00e9ponde aux exigences du pr\u00e9sent r\u00e8glement et garantisse la protection des droits de la personne concern\u00e9e \u00bb (Art.28 RGPD).<\/p>
        <\/p>
        Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        <\/p>\n
        Il est n\u00e9cessaire de se mettre en conformit\u00e9 au RGPD et ce pour plusieurs raisons.<\/p>\n
        <\/p>\n
        Tout d\u2019abord, il s\u2019agit d\u2019une obligation impos\u00e9e \u00e0 tout organisme, public ou priv\u00e9, traitant des donn\u00e9es personnelles d\u00e8s lors que celui-ci est \u00e9tabli sur le territoire de l\u2019Union europ\u00e9enne ou que son activit\u00e9 cible directement des r\u00e9sidents europ\u00e9ens.<\/p>\n
        <\/p>\n
        Ensuite, les organisations non conformes au RGPD s\u2019exposent \u00e0 de forts risques de sanctions dont notamment des amendes administratives pouvant s\u2019\u00e9lever \u00e0 hauteur de 2 ou 4% du chiffre d’affaires annuel mondial de l\u2019entreprise.<\/p>\n
        <\/p>\n
        Enfin, au-del\u00e0 d\u2019\u00eatre une obligation l\u00e9gale et r\u00e8glementaire et de constituer un risque accru de sanction, le RGPD est une v\u00e9ritable opportunit\u00e9 puisqu\u2019il permet de :<\/p>\n
        <\/p>\n
        <\/p>\n
        Valoriser la data en exploitant les donn\u00e9es de mani\u00e8re l\u00e9gale et qualitative<\/li>\n
        <\/p>\n
        Accro\u00eetre la confiance des clients, partenaires et prospects gr\u00e2ce \u00e0 la transparence<\/li>\n
        <\/p>\n
        Conforter et renforcer l\u2019image de marque du cabinet<\/li>\n
        <\/p>\n
        Acqu\u00e9rir de nouveaux clients et de nouveaux march\u00e9s<\/li>\n
        <\/p>\n
        Remporter des appels d\u2019offre (les acheteurs publics ont l\u2019obligation de v\u00e9rifier la conformit\u00e9 RGPD des soumissionnaires \u00e0 appel d\u2019offres)<\/li>\n
        <\/p>\n
        Am\u00e9liorer l\u2019organisation interne et renforcer la confiance des collaborateurs de l\u2019organisme<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        \u00catre conforme RGPD est donc primordial.<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quel est le r\u00f4le de l\u2019expert-comptable dans l\u2019accompagnement de ses clients en mati\u00e8re de conformit\u00e9 RGPD\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        En application de l’article 155 du D\u00e9cret du 30 mars 2012 relatif \u00e0 l’exercice de l’activit\u00e9 d’expertise comptable, les experts-comptables sont tenus \u00e0 un devoir d\u2019information et de conseil \u00e0 l\u2019\u00e9gard de leurs clients ou adh\u00e9rents.<\/p>
        <\/p>
        D\u00e8s lors, dans sa qualit\u00e9 et son devoir de conseil, le r\u00f4le de l\u2019expert comptable est de veiller \u00e0 ce que ses clients respectent le RGPD, notamment \u00e0 l\u2019occasion de ses missions d\u2019audits ou de l\u2019\u00e9laboration de propositions offres d\u2019accompagnement. Pour \u00e9viter tout cas de contentieux en d\u00e9faut d’information et de conseil, les experts-comptables doivent donc \u00e0 minima informer leurs clients de leur obligation \u00e0 se mettre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Un partenariat entre la CNIL et le CSOEC a \u00e9t\u00e9 conclu en ce sens en 2020 afin notamment de diffuser une culture de la protection des donn\u00e9es personnelles aupr\u00e8s des experts-comptables, \u00e0 la fois pour la mise en conformit\u00e9 de leur propre structure mais \u00e9galement dans leur r\u00f4le de proximit\u00e9 aupr\u00e8s des entreprises.<\/p>
        <\/p>
        En effet, les experts-comptables ont une connaissance approfondie des risques li\u00e9s \u00e0 l\u2019activit\u00e9 de leurs clients et ils constituent un interlocuteur privil\u00e9gi\u00e9 pour r\u00e9pondre aux besoins de mise en conformit\u00e9 de ces derniers. Le CSOEC estime ainsi que \u00ab Les experts-comptables sont comp\u00e9tents en mati\u00e8re de protection des donn\u00e9es personnelles d\u00e8s lors qu\u2019ils ont d\u00e9j\u00e0 mis en place les obligations impos\u00e9es par le RGPD au sein de leurs cabinets. Ils peuvent donc proposer une mission dans laquelle ils accompagnent leurs entreprises clientes \u00e0 mettre en place le RGPD \u00bb.<\/p>
        <\/p>
        C’est dans ce contexte que l’expert-comptable est amen\u00e9 \u00e0 la fois \u00e0 alerter ses clients sur leur conformit\u00e9 RGPD et \u00e0 leur proposer des prestations de service relatives \u00e0 la mise en conformit\u00e9 RGPD.<\/p>
        <\/p>"}},{"@type":"Question","name":"Qu\u2019implique la mise en conformit\u00e9 au RGPD pour le cabinet d\u2019expertise comptable ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>\n
        Le processus de mise en conformit\u00e9 au RGPD implique de respecter la mise en \u0153uvre de plusieurs mesures, notamment :<\/p>\n
        <\/p>\n
        <\/p>\n
        Constituer un registre des traitements des donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Il permet au cabinet d\u2019avoir une vision d\u2019ensemble sur les traitements de donn\u00e9es qu\u2019il r\u00e9alise. Le registre requiert de proc\u00e9der \u00e0 une identification des activit\u00e9s principales du cabinet ayant recours au traitement de donn\u00e9es personnelles, c\u2019est ce qu\u2019on appelle les traitements. L’expert-comptable responsable de traitement ou le sous-traitant doit ainsi proc\u00e9der \u00e0 la cr\u00e9ation d\u2019une fiche pour chaque traitement recens\u00e9, en indiquant notamment sa finalit\u00e9, c\u2019est-\u00e0-dire l\u2019objectif en vue duquel les donn\u00e9es sont trait\u00e9es par le cabinet.<\/p>\n
        <\/p>\n
        Enfin, le registre doit \u00eatre mis \u00e0 jour r\u00e9guli\u00e8rement car les cabinets peuvent \u00eatre amen\u00e9s \u00e0 changer de logiciels, \u00e0 faire \u00e9voluer leur organisation interne ou \u00e0 changer de sous-traitants. La protection des donn\u00e9es doit donc \u00eatre continue.<\/p>\n
        <\/p>\n
        A noter : Il est vivement conseill\u00e9 de confier la tenue du registre de traitements au d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es (DPD) \/ data protection officer (DPO) qui se chargera de sa mise \u00e0 jour r\u00e9guli\u00e8rement.<\/em><\/p>\n
        <\/p>\n
        <\/p>\n
        Trier les donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le cabinet doit se limiter \u00e0 la collecte des donn\u00e9es strictement n\u00e9cessaires au traitement. C\u2019est le principe de minimisation des donn\u00e9es. Ainsi, les donn\u00e9es ne doivent \u00eatre trait\u00e9es que si :<\/p>\n
        <\/p>\n
        <\/p>\n
        elles sont n\u00e9cessaires \u00e0 l\u2019activit\u00e9 de l\u2019organisme ;<\/li>\n
        <\/p>\n
        il ne s\u2019agit pas de donn\u00e9es dites \u00ab sensibles \u00bb, dans le cas contraire il convient de s\u2019assurer que le cabinet a bien le droit de les traiter ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont accessibles uniquement aux personnes habilit\u00e9es ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont conserv\u00e9es uniquement le temps n\u00e9cessaire et\/ou r\u00e8glementaire ;<\/li>\n
        <\/p>\n
        Respecter les droits des personnes. <\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le RGPD a pour objectif de renforcer la protection des donn\u00e9es des personnes. C\u2019est pourquoi il est venu conf\u00e9rer \u00e0 ces derni\u00e8res un certain nombre de droits, notamment le droit d\u2019acc\u00e8s, de rectification, d\u2019opposition, d\u2019effacement, le droit \u00e0 la limitation du traitement, \u00e0 la portabilit\u00e9. C\u2019est au responsable de traitement qu\u2019il appartient de mettre en place les mesures visant \u00e0 faire respecter ces droits.<\/p>\n
        <\/p>\n
        <\/p>\n
        S\u00e9curiser les donn\u00e9es personnelles<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le responsable de traitement doit prendre les mesures n\u00e9cessaires afin de garantir la s\u00e9curisation des donn\u00e9es personnelles en r\u00e9duisant les risques de violations de donn\u00e9es en respectant notamment les principes suivants :<\/p>\n
        <\/p>\n
        <\/p>\n
        Le principe de confidentialit\u00e9 : les donn\u00e9es doivent \u00eatre accessibles aux seules personnes autoris\u00e9es<\/li>\n
        <\/p>\n
        Le principe d\u2019int\u00e9grit\u00e9 : les donn\u00e9es ne doivent pas \u00eatre alt\u00e9r\u00e9es ou modifi\u00e9es<\/li>\n
        <\/p>\n
        Le principe de disponibilit\u00e9 : les donn\u00e9es doivent \u00eatre en permanence accessibles aux personnes autoris\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Si un organisme subi une violation de donn\u00e9es, il doit proc\u00e9der \u00e0 un signalement \u00e0 la CNIL dans les 72 heures suivant la violation, si celle-ci est susceptible de repr\u00e9senter un risque pour les droits et libert\u00e9s des personnes concern\u00e9es.<\/p>\n
        <\/p>\n
        <\/p>\n
        Respecter le principe d\u2019accountability<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Ce principe d\u00e9signe l\u2019obligation pour les cabinets de mettre en \u0153uvre des m\u00e9canismes et des proc\u00e9dures internes permettant de d\u00e9montrer le respect des r\u00e8gles relatives \u00e0 la protection des donn\u00e9es.<\/p>\n
        <\/p>\n
        En cas de contr\u00f4le de la CNIL, la cabinet doit donc \u00eatre en mesure de d\u00e9montrer sa conformit\u00e9 au RGPD et les mesures prises \u00e0 cet effet.<\/p>\n
        <\/p>\n
        <\/p>\n
        R\u00e9vision des pratiques, contrats et lettre de mission rgpd expert-comptable<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Dans le cadre du processus de mise en conformit\u00e9, il est \u00e9galement n\u00e9cessaire de modifier tous les contrats de prestation et les lettres de mission du cabinet. L\u2019Ordre des experts comptables recommande en ce sens de revoir les contrats clients en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>\n
        <\/p>\n
        \u00c9galement, il est d\u00e9sormais exclu de communiquer des bulletins de paie par email. Il convient dor\u00e9navant d\u2019utiliser une plateforme<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quelles sont les nouvelles responsabilit\u00e9s qu\u2019implique le RGPD pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Au-del\u00e0 des responsabilit\u00e9s inh\u00e9rentes \u00e0 la qualit\u00e9 de responsable de traitement, le RGPD implique de nouvelles responsabilit\u00e9s pour les experts-comptables. Tout d\u2019abord, ils voient leur responsabilit\u00e9 renforc\u00e9e en mati\u00e8re de devoir d\u2019information et de conseil, du fait de leur devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit offrir \u00e0 ses clients \u00ab des garanties suffisantes quant \u00e0 la mise en \u0153uvre de mesures techniques et organisationnelles appropri\u00e9es de mani\u00e8re \u00e0 ce que le traitement r\u00e9ponde aux exigences du pr\u00e9sent r\u00e8glement et garantisse la protection des droits de la personne concern\u00e9e \u00bb (Art.28 RGPD).<\/p>
        <\/p>
        Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        <\/p>
        \u00c9galement, toute personne concern\u00e9e par une violation de ses donn\u00e9es personnelles par le responsable de traitement et\/ou son sous-traitant, et ayant subi un dommage mat\u00e9riel ou moral du fait de cette violation, peut obtenir r\u00e9paration de son pr\u00e9judice notamment sous la forme de dommages et int\u00e9r\u00eats. En cas de contr\u00f4le de la CNIL, vous devez \u00eatre en mesure de garantir la protection des donn\u00e9es personnelles et de d\u00e9montrer les mesures prises \u00e0 cet effet.<\/p>
        <\/p>"}},{"@type":"Question","name":"Pourquoi se mettre en conformit\u00e9 au RGPD\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>\n
        Il est n\u00e9cessaire de se mettre en conformit\u00e9 au RGPD et ce pour plusieurs raisons.<\/p>\n
        <\/p>\n
        Tout d\u2019abord, il s\u2019agit d\u2019une obligation impos\u00e9e \u00e0 tout organisme, public ou priv\u00e9, traitant des donn\u00e9es personnelles d\u00e8s lors que celui-ci est \u00e9tabli sur le territoire de l\u2019Union europ\u00e9enne ou que son activit\u00e9 cible directement des r\u00e9sidents europ\u00e9ens.<\/p>\n
        <\/p>\n
        Ensuite, les organisations non conformes au RGPD s\u2019exposent \u00e0 de forts risques de sanctions dont notamment des amendes administratives pouvant s\u2019\u00e9lever \u00e0 hauteur de 2 ou 4% du chiffre d’affaires annuel mondial de l\u2019entreprise.<\/p>\n
        <\/p>\n
        Enfin, au-del\u00e0 d\u2019\u00eatre une obligation l\u00e9gale et r\u00e8glementaire et de constituer un risque accru de sanction, le RGPD est une v\u00e9ritable opportunit\u00e9 puisqu\u2019il permet de :<\/p>\n
        <\/p>\n
        <\/p>\n
        Valoriser la data en exploitant les donn\u00e9es de mani\u00e8re l\u00e9gale et qualitative<\/li>\n
        <\/p>\n
        Accro\u00eetre la confiance des clients, partenaires et prospects gr\u00e2ce \u00e0 la transparence<\/li>\n
        <\/p>\n
        Conforter et renforcer l\u2019image de marque du cabinet<\/li>\n
        <\/p>\n
        Acqu\u00e9rir de nouveaux clients et de nouveaux march\u00e9s<\/li>\n
        <\/p>\n
        Remporter des appels d\u2019offre (les acheteurs publics ont l\u2019obligation de v\u00e9rifier la conformit\u00e9 RGPD des soumissionnaires \u00e0 appel d\u2019offres)<\/li>\n
        <\/p>\n
        Am\u00e9liorer l\u2019organisation interne et renforcer la confiance des collaborateurs de l\u2019organisme<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        \u00catre conforme RGPD est donc primordial.<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quel est le r\u00f4le de l\u2019expert-comptable dans l\u2019accompagnement de ses clients en mati\u00e8re de conformit\u00e9 RGPD\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        En application de l’article 155 du D\u00e9cret du 30 mars 2012 relatif \u00e0 l’exercice de l’activit\u00e9 d’expertise comptable, les experts-comptables sont tenus \u00e0 un devoir d\u2019information et de conseil \u00e0 l\u2019\u00e9gard de leurs clients ou adh\u00e9rents.<\/p>
        <\/p>
        D\u00e8s lors, dans sa qualit\u00e9 et son devoir de conseil, le r\u00f4le de l\u2019expert comptable est de veiller \u00e0 ce que ses clients respectent le RGPD, notamment \u00e0 l\u2019occasion de ses missions d\u2019audits ou de l\u2019\u00e9laboration de propositions offres d\u2019accompagnement. Pour \u00e9viter tout cas de contentieux en d\u00e9faut d’information et de conseil, les experts-comptables doivent donc \u00e0 minima informer leurs clients de leur obligation \u00e0 se mettre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Un partenariat entre la CNIL et le CSOEC a \u00e9t\u00e9 conclu en ce sens en 2020 afin notamment de diffuser une culture de la protection des donn\u00e9es personnelles aupr\u00e8s des experts-comptables, \u00e0 la fois pour la mise en conformit\u00e9 de leur propre structure mais \u00e9galement dans leur r\u00f4le de proximit\u00e9 aupr\u00e8s des entreprises.<\/p>
        <\/p>
        En effet, les experts-comptables ont une connaissance approfondie des risques li\u00e9s \u00e0 l\u2019activit\u00e9 de leurs clients et ils constituent un interlocuteur privil\u00e9gi\u00e9 pour r\u00e9pondre aux besoins de mise en conformit\u00e9 de ces derniers. Le CSOEC estime ainsi que \u00ab Les experts-comptables sont comp\u00e9tents en mati\u00e8re de protection des donn\u00e9es personnelles d\u00e8s lors qu\u2019ils ont d\u00e9j\u00e0 mis en place les obligations impos\u00e9es par le RGPD au sein de leurs cabinets. Ils peuvent donc proposer une mission dans laquelle ils accompagnent leurs entreprises clientes \u00e0 mettre en place le RGPD \u00bb.<\/p>
        <\/p>
        C’est dans ce contexte que l’expert-comptable est amen\u00e9 \u00e0 la fois \u00e0 alerter ses clients sur leur conformit\u00e9 RGPD et \u00e0 leur proposer des prestations de service relatives \u00e0 la mise en conformit\u00e9 RGPD.<\/p>
        <\/p>"}},{"@type":"Question","name":"Qu\u2019implique la mise en conformit\u00e9 au RGPD pour le cabinet d\u2019expertise comptable ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>\n
        Le processus de mise en conformit\u00e9 au RGPD implique de respecter la mise en \u0153uvre de plusieurs mesures, notamment :<\/p>\n
        <\/p>\n
        <\/p>\n
        Constituer un registre des traitements des donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Il permet au cabinet d\u2019avoir une vision d\u2019ensemble sur les traitements de donn\u00e9es qu\u2019il r\u00e9alise. Le registre requiert de proc\u00e9der \u00e0 une identification des activit\u00e9s principales du cabinet ayant recours au traitement de donn\u00e9es personnelles, c\u2019est ce qu\u2019on appelle les traitements. L’expert-comptable responsable de traitement ou le sous-traitant doit ainsi proc\u00e9der \u00e0 la cr\u00e9ation d\u2019une fiche pour chaque traitement recens\u00e9, en indiquant notamment sa finalit\u00e9, c\u2019est-\u00e0-dire l\u2019objectif en vue duquel les donn\u00e9es sont trait\u00e9es par le cabinet.<\/p>\n
        <\/p>\n
        Enfin, le registre doit \u00eatre mis \u00e0 jour r\u00e9guli\u00e8rement car les cabinets peuvent \u00eatre amen\u00e9s \u00e0 changer de logiciels, \u00e0 faire \u00e9voluer leur organisation interne ou \u00e0 changer de sous-traitants. La protection des donn\u00e9es doit donc \u00eatre continue.<\/p>\n
        <\/p>\n
        A noter : Il est vivement conseill\u00e9 de confier la tenue du registre de traitements au d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es (DPD) \/ data protection officer (DPO) qui se chargera de sa mise \u00e0 jour r\u00e9guli\u00e8rement.<\/em><\/p>\n
        <\/p>\n
        <\/p>\n
        Trier les donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le cabinet doit se limiter \u00e0 la collecte des donn\u00e9es strictement n\u00e9cessaires au traitement. C\u2019est le principe de minimisation des donn\u00e9es. Ainsi, les donn\u00e9es ne doivent \u00eatre trait\u00e9es que si :<\/p>\n
        <\/p>\n
        <\/p>\n
        elles sont n\u00e9cessaires \u00e0 l\u2019activit\u00e9 de l\u2019organisme ;<\/li>\n
        <\/p>\n
        il ne s\u2019agit pas de donn\u00e9es dites \u00ab sensibles \u00bb, dans le cas contraire il convient de s\u2019assurer que le cabinet a bien le droit de les traiter ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont accessibles uniquement aux personnes habilit\u00e9es ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont conserv\u00e9es uniquement le temps n\u00e9cessaire et\/ou r\u00e8glementaire ;<\/li>\n
        <\/p>\n
        Respecter les droits des personnes. <\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le RGPD a pour objectif de renforcer la protection des donn\u00e9es des personnes. C\u2019est pourquoi il est venu conf\u00e9rer \u00e0 ces derni\u00e8res un certain nombre de droits, notamment le droit d\u2019acc\u00e8s, de rectification, d\u2019opposition, d\u2019effacement, le droit \u00e0 la limitation du traitement, \u00e0 la portabilit\u00e9. C\u2019est au responsable de traitement qu\u2019il appartient de mettre en place les mesures visant \u00e0 faire respecter ces droits.<\/p>\n
        <\/p>\n
        <\/p>\n
        S\u00e9curiser les donn\u00e9es personnelles<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le responsable de traitement doit prendre les mesures n\u00e9cessaires afin de garantir la s\u00e9curisation des donn\u00e9es personnelles en r\u00e9duisant les risques de violations de donn\u00e9es en respectant notamment les principes suivants :<\/p>\n
        <\/p>\n
        <\/p>\n
        Le principe de confidentialit\u00e9 : les donn\u00e9es doivent \u00eatre accessibles aux seules personnes autoris\u00e9es<\/li>\n
        <\/p>\n
        Le principe d\u2019int\u00e9grit\u00e9 : les donn\u00e9es ne doivent pas \u00eatre alt\u00e9r\u00e9es ou modifi\u00e9es<\/li>\n
        <\/p>\n
        Le principe de disponibilit\u00e9 : les donn\u00e9es doivent \u00eatre en permanence accessibles aux personnes autoris\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Si un organisme subi une violation de donn\u00e9es, il doit proc\u00e9der \u00e0 un signalement \u00e0 la CNIL dans les 72 heures suivant la violation, si celle-ci est susceptible de repr\u00e9senter un risque pour les droits et libert\u00e9s des personnes concern\u00e9es.<\/p>\n
        <\/p>\n
        <\/p>\n
        Respecter le principe d\u2019accountability<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Ce principe d\u00e9signe l\u2019obligation pour les cabinets de mettre en \u0153uvre des m\u00e9canismes et des proc\u00e9dures internes permettant de d\u00e9montrer le respect des r\u00e8gles relatives \u00e0 la protection des donn\u00e9es.<\/p>\n
        <\/p>\n
        En cas de contr\u00f4le de la CNIL, la cabinet doit donc \u00eatre en mesure de d\u00e9montrer sa conformit\u00e9 au RGPD et les mesures prises \u00e0 cet effet.<\/p>\n
        <\/p>\n
        <\/p>\n
        R\u00e9vision des pratiques, contrats et lettre de mission rgpd expert-comptable<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Dans le cadre du processus de mise en conformit\u00e9, il est \u00e9galement n\u00e9cessaire de modifier tous les contrats de prestation et les lettres de mission du cabinet. L\u2019Ordre des experts comptables recommande en ce sens de revoir les contrats clients en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>\n
        <\/p>\n
        \u00c9galement, il est d\u00e9sormais exclu de communiquer des bulletins de paie par email. Il convient dor\u00e9navant d\u2019utiliser une plateforme<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quelles sont les nouvelles responsabilit\u00e9s qu\u2019implique le RGPD pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Au-del\u00e0 des responsabilit\u00e9s inh\u00e9rentes \u00e0 la qualit\u00e9 de responsable de traitement, le RGPD implique de nouvelles responsabilit\u00e9s pour les experts-comptables. Tout d\u2019abord, ils voient leur responsabilit\u00e9 renforc\u00e9e en mati\u00e8re de devoir d\u2019information et de conseil, du fait de leur devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit offrir \u00e0 ses clients \u00ab des garanties suffisantes quant \u00e0 la mise en \u0153uvre de mesures techniques et organisationnelles appropri\u00e9es de mani\u00e8re \u00e0 ce que le traitement r\u00e9ponde aux exigences du pr\u00e9sent r\u00e8glement et garantisse la protection des droits de la personne concern\u00e9e \u00bb (Art.28 RGPD).<\/p>
        <\/p>
        Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        
        Jusqu\u2019\u00e0 4 % du chiffre d\u2019affaires mondial notamment en cas de refus d\u2019obtemp\u00e9rer aux injonctions de la CNIL, de traitements de donn\u00e9es ill\u00e9gaux, de d\u00e9faut de consentement, de non-respect des droits des personnes, etc.<\/li><\/ul>
        <\/p>
        \u00c9galement, toute personne concern\u00e9e par une violation de ses donn\u00e9es personnelles par le responsable de traitement et\/ou son sous-traitant, et ayant subi un dommage mat\u00e9riel ou moral du fait de cette violation, peut obtenir r\u00e9paration de son pr\u00e9judice notamment sous la forme de dommages et int\u00e9r\u00eats. En cas de contr\u00f4le de la CNIL, vous devez \u00eatre en mesure de garantir la protection des donn\u00e9es personnelles et de d\u00e9montrer les mesures prises \u00e0 cet effet.<\/p>
        <\/p>"}},{"@type":"Question","name":"Pourquoi se mettre en conformit\u00e9 au RGPD\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>\n
        Il est n\u00e9cessaire de se mettre en conformit\u00e9 au RGPD et ce pour plusieurs raisons.<\/p>\n
        <\/p>\n
        Tout d\u2019abord, il s\u2019agit d\u2019une obligation impos\u00e9e \u00e0 tout organisme, public ou priv\u00e9, traitant des donn\u00e9es personnelles d\u00e8s lors que celui-ci est \u00e9tabli sur le territoire de l\u2019Union europ\u00e9enne ou que son activit\u00e9 cible directement des r\u00e9sidents europ\u00e9ens.<\/p>\n
        <\/p>\n
        Ensuite, les organisations non conformes au RGPD s\u2019exposent \u00e0 de forts risques de sanctions dont notamment des amendes administratives pouvant s\u2019\u00e9lever \u00e0 hauteur de 2 ou 4% du chiffre d’affaires annuel mondial de l\u2019entreprise.<\/p>\n
        <\/p>\n
        Enfin, au-del\u00e0 d\u2019\u00eatre une obligation l\u00e9gale et r\u00e8glementaire et de constituer un risque accru de sanction, le RGPD est une v\u00e9ritable opportunit\u00e9 puisqu\u2019il permet de :<\/p>\n
        <\/p>\n
        <\/p>\n
        Valoriser la data en exploitant les donn\u00e9es de mani\u00e8re l\u00e9gale et qualitative<\/li>\n
        <\/p>\n
        Accro\u00eetre la confiance des clients, partenaires et prospects gr\u00e2ce \u00e0 la transparence<\/li>\n
        <\/p>\n
        Conforter et renforcer l\u2019image de marque du cabinet<\/li>\n
        <\/p>\n
        Acqu\u00e9rir de nouveaux clients et de nouveaux march\u00e9s<\/li>\n
        <\/p>\n
        Remporter des appels d\u2019offre (les acheteurs publics ont l\u2019obligation de v\u00e9rifier la conformit\u00e9 RGPD des soumissionnaires \u00e0 appel d\u2019offres)<\/li>\n
        <\/p>\n
        Am\u00e9liorer l\u2019organisation interne et renforcer la confiance des collaborateurs de l\u2019organisme<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        \u00catre conforme RGPD est donc primordial.<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quel est le r\u00f4le de l\u2019expert-comptable dans l\u2019accompagnement de ses clients en mati\u00e8re de conformit\u00e9 RGPD\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        En application de l’article 155 du D\u00e9cret du 30 mars 2012 relatif \u00e0 l’exercice de l’activit\u00e9 d’expertise comptable, les experts-comptables sont tenus \u00e0 un devoir d\u2019information et de conseil \u00e0 l\u2019\u00e9gard de leurs clients ou adh\u00e9rents.<\/p>
        <\/p>
        D\u00e8s lors, dans sa qualit\u00e9 et son devoir de conseil, le r\u00f4le de l\u2019expert comptable est de veiller \u00e0 ce que ses clients respectent le RGPD, notamment \u00e0 l\u2019occasion de ses missions d\u2019audits ou de l\u2019\u00e9laboration de propositions offres d\u2019accompagnement. Pour \u00e9viter tout cas de contentieux en d\u00e9faut d’information et de conseil, les experts-comptables doivent donc \u00e0 minima informer leurs clients de leur obligation \u00e0 se mettre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Un partenariat entre la CNIL et le CSOEC a \u00e9t\u00e9 conclu en ce sens en 2020 afin notamment de diffuser une culture de la protection des donn\u00e9es personnelles aupr\u00e8s des experts-comptables, \u00e0 la fois pour la mise en conformit\u00e9 de leur propre structure mais \u00e9galement dans leur r\u00f4le de proximit\u00e9 aupr\u00e8s des entreprises.<\/p>
        <\/p>
        En effet, les experts-comptables ont une connaissance approfondie des risques li\u00e9s \u00e0 l\u2019activit\u00e9 de leurs clients et ils constituent un interlocuteur privil\u00e9gi\u00e9 pour r\u00e9pondre aux besoins de mise en conformit\u00e9 de ces derniers. Le CSOEC estime ainsi que \u00ab Les experts-comptables sont comp\u00e9tents en mati\u00e8re de protection des donn\u00e9es personnelles d\u00e8s lors qu\u2019ils ont d\u00e9j\u00e0 mis en place les obligations impos\u00e9es par le RGPD au sein de leurs cabinets. Ils peuvent donc proposer une mission dans laquelle ils accompagnent leurs entreprises clientes \u00e0 mettre en place le RGPD \u00bb.<\/p>
        <\/p>
        C’est dans ce contexte que l’expert-comptable est amen\u00e9 \u00e0 la fois \u00e0 alerter ses clients sur leur conformit\u00e9 RGPD et \u00e0 leur proposer des prestations de service relatives \u00e0 la mise en conformit\u00e9 RGPD.<\/p>
        <\/p>"}},{"@type":"Question","name":"Qu\u2019implique la mise en conformit\u00e9 au RGPD pour le cabinet d\u2019expertise comptable ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>\n
        Le processus de mise en conformit\u00e9 au RGPD implique de respecter la mise en \u0153uvre de plusieurs mesures, notamment :<\/p>\n
        <\/p>\n
        <\/p>\n
        Constituer un registre des traitements des donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Il permet au cabinet d\u2019avoir une vision d\u2019ensemble sur les traitements de donn\u00e9es qu\u2019il r\u00e9alise. Le registre requiert de proc\u00e9der \u00e0 une identification des activit\u00e9s principales du cabinet ayant recours au traitement de donn\u00e9es personnelles, c\u2019est ce qu\u2019on appelle les traitements. L’expert-comptable responsable de traitement ou le sous-traitant doit ainsi proc\u00e9der \u00e0 la cr\u00e9ation d\u2019une fiche pour chaque traitement recens\u00e9, en indiquant notamment sa finalit\u00e9, c\u2019est-\u00e0-dire l\u2019objectif en vue duquel les donn\u00e9es sont trait\u00e9es par le cabinet.<\/p>\n
        <\/p>\n
        Enfin, le registre doit \u00eatre mis \u00e0 jour r\u00e9guli\u00e8rement car les cabinets peuvent \u00eatre amen\u00e9s \u00e0 changer de logiciels, \u00e0 faire \u00e9voluer leur organisation interne ou \u00e0 changer de sous-traitants. La protection des donn\u00e9es doit donc \u00eatre continue.<\/p>\n
        <\/p>\n
        A noter : Il est vivement conseill\u00e9 de confier la tenue du registre de traitements au d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es (DPD) \/ data protection officer (DPO) qui se chargera de sa mise \u00e0 jour r\u00e9guli\u00e8rement.<\/em><\/p>\n
        <\/p>\n
        <\/p>\n
        Trier les donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le cabinet doit se limiter \u00e0 la collecte des donn\u00e9es strictement n\u00e9cessaires au traitement. C\u2019est le principe de minimisation des donn\u00e9es. Ainsi, les donn\u00e9es ne doivent \u00eatre trait\u00e9es que si :<\/p>\n
        <\/p>\n
        <\/p>\n
        elles sont n\u00e9cessaires \u00e0 l\u2019activit\u00e9 de l\u2019organisme ;<\/li>\n
        <\/p>\n
        il ne s\u2019agit pas de donn\u00e9es dites \u00ab sensibles \u00bb, dans le cas contraire il convient de s\u2019assurer que le cabinet a bien le droit de les traiter ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont accessibles uniquement aux personnes habilit\u00e9es ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont conserv\u00e9es uniquement le temps n\u00e9cessaire et\/ou r\u00e8glementaire ;<\/li>\n
        <\/p>\n
        Respecter les droits des personnes. <\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le RGPD a pour objectif de renforcer la protection des donn\u00e9es des personnes. C\u2019est pourquoi il est venu conf\u00e9rer \u00e0 ces derni\u00e8res un certain nombre de droits, notamment le droit d\u2019acc\u00e8s, de rectification, d\u2019opposition, d\u2019effacement, le droit \u00e0 la limitation du traitement, \u00e0 la portabilit\u00e9. C\u2019est au responsable de traitement qu\u2019il appartient de mettre en place les mesures visant \u00e0 faire respecter ces droits.<\/p>\n
        <\/p>\n
        <\/p>\n
        S\u00e9curiser les donn\u00e9es personnelles<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le responsable de traitement doit prendre les mesures n\u00e9cessaires afin de garantir la s\u00e9curisation des donn\u00e9es personnelles en r\u00e9duisant les risques de violations de donn\u00e9es en respectant notamment les principes suivants :<\/p>\n
        <\/p>\n
        <\/p>\n
        Le principe de confidentialit\u00e9 : les donn\u00e9es doivent \u00eatre accessibles aux seules personnes autoris\u00e9es<\/li>\n
        <\/p>\n
        Le principe d\u2019int\u00e9grit\u00e9 : les donn\u00e9es ne doivent pas \u00eatre alt\u00e9r\u00e9es ou modifi\u00e9es<\/li>\n
        <\/p>\n
        Le principe de disponibilit\u00e9 : les donn\u00e9es doivent \u00eatre en permanence accessibles aux personnes autoris\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Si un organisme subi une violation de donn\u00e9es, il doit proc\u00e9der \u00e0 un signalement \u00e0 la CNIL dans les 72 heures suivant la violation, si celle-ci est susceptible de repr\u00e9senter un risque pour les droits et libert\u00e9s des personnes concern\u00e9es.<\/p>\n
        <\/p>\n
        <\/p>\n
        Respecter le principe d\u2019accountability<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Ce principe d\u00e9signe l\u2019obligation pour les cabinets de mettre en \u0153uvre des m\u00e9canismes et des proc\u00e9dures internes permettant de d\u00e9montrer le respect des r\u00e8gles relatives \u00e0 la protection des donn\u00e9es.<\/p>\n
        <\/p>\n
        En cas de contr\u00f4le de la CNIL, la cabinet doit donc \u00eatre en mesure de d\u00e9montrer sa conformit\u00e9 au RGPD et les mesures prises \u00e0 cet effet.<\/p>\n
        <\/p>\n
        <\/p>\n
        R\u00e9vision des pratiques, contrats et lettre de mission rgpd expert-comptable<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Dans le cadre du processus de mise en conformit\u00e9, il est \u00e9galement n\u00e9cessaire de modifier tous les contrats de prestation et les lettres de mission du cabinet. L\u2019Ordre des experts comptables recommande en ce sens de revoir les contrats clients en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>\n
        <\/p>\n
        \u00c9galement, il est d\u00e9sormais exclu de communiquer des bulletins de paie par email. Il convient dor\u00e9navant d\u2019utiliser une plateforme<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quelles sont les nouvelles responsabilit\u00e9s qu\u2019implique le RGPD pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Au-del\u00e0 des responsabilit\u00e9s inh\u00e9rentes \u00e0 la qualit\u00e9 de responsable de traitement, le RGPD implique de nouvelles responsabilit\u00e9s pour les experts-comptables. Tout d\u2019abord, ils voient leur responsabilit\u00e9 renforc\u00e9e en mati\u00e8re de devoir d\u2019information et de conseil, du fait de leur devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit offrir \u00e0 ses clients \u00ab des garanties suffisantes quant \u00e0 la mise en \u0153uvre de mesures techniques et organisationnelles appropri\u00e9es de mani\u00e8re \u00e0 ce que le traitement r\u00e9ponde aux exigences du pr\u00e9sent r\u00e8glement et garantisse la protection des droits de la personne concern\u00e9e \u00bb (Art.28 RGPD).<\/p>
        <\/p>
        Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        
        Jusqu\u2019\u00e0 2 % du chiffre d\u2019affaires mondial de l\u2019entreprise pour des manquements tels que l\u2019absence de registre de traitements, le d\u00e9faut d\u2019annonce suite \u00e0 une faille d\u00e9cel\u00e9e, le d\u00e9faut d\u2019\u00e9tude d\u2019impact sur la vie priv\u00e9e (en cas de donn\u00e9es sensibles), etc.<\/li>
        Jusqu\u2019\u00e0 4 % du chiffre d\u2019affaires mondial notamment en cas de refus d\u2019obtemp\u00e9rer aux injonctions de la CNIL, de traitements de donn\u00e9es ill\u00e9gaux, de d\u00e9faut de consentement, de non-respect des droits des personnes, etc.<\/li><\/ul>
        <\/p>
        \u00c9galement, toute personne concern\u00e9e par une violation de ses donn\u00e9es personnelles par le responsable de traitement et\/ou son sous-traitant, et ayant subi un dommage mat\u00e9riel ou moral du fait de cette violation, peut obtenir r\u00e9paration de son pr\u00e9judice notamment sous la forme de dommages et int\u00e9r\u00eats. En cas de contr\u00f4le de la CNIL, vous devez \u00eatre en mesure de garantir la protection des donn\u00e9es personnelles et de d\u00e9montrer les mesures prises \u00e0 cet effet.<\/p>
        <\/p>"}},{"@type":"Question","name":"Pourquoi se mettre en conformit\u00e9 au RGPD\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>\n
        Il est n\u00e9cessaire de se mettre en conformit\u00e9 au RGPD et ce pour plusieurs raisons.<\/p>\n
        <\/p>\n
        Tout d\u2019abord, il s\u2019agit d\u2019une obligation impos\u00e9e \u00e0 tout organisme, public ou priv\u00e9, traitant des donn\u00e9es personnelles d\u00e8s lors que celui-ci est \u00e9tabli sur le territoire de l\u2019Union europ\u00e9enne ou que son activit\u00e9 cible directement des r\u00e9sidents europ\u00e9ens.<\/p>\n
        <\/p>\n
        Ensuite, les organisations non conformes au RGPD s\u2019exposent \u00e0 de forts risques de sanctions dont notamment des amendes administratives pouvant s\u2019\u00e9lever \u00e0 hauteur de 2 ou 4% du chiffre d’affaires annuel mondial de l\u2019entreprise.<\/p>\n
        <\/p>\n
        Enfin, au-del\u00e0 d\u2019\u00eatre une obligation l\u00e9gale et r\u00e8glementaire et de constituer un risque accru de sanction, le RGPD est une v\u00e9ritable opportunit\u00e9 puisqu\u2019il permet de :<\/p>\n
        <\/p>\n
        <\/p>\n
        Valoriser la data en exploitant les donn\u00e9es de mani\u00e8re l\u00e9gale et qualitative<\/li>\n
        <\/p>\n
        Accro\u00eetre la confiance des clients, partenaires et prospects gr\u00e2ce \u00e0 la transparence<\/li>\n
        <\/p>\n
        Conforter et renforcer l\u2019image de marque du cabinet<\/li>\n
        <\/p>\n
        Acqu\u00e9rir de nouveaux clients et de nouveaux march\u00e9s<\/li>\n
        <\/p>\n
        Remporter des appels d\u2019offre (les acheteurs publics ont l\u2019obligation de v\u00e9rifier la conformit\u00e9 RGPD des soumissionnaires \u00e0 appel d\u2019offres)<\/li>\n
        <\/p>\n
        Am\u00e9liorer l\u2019organisation interne et renforcer la confiance des collaborateurs de l\u2019organisme<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        \u00catre conforme RGPD est donc primordial.<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quel est le r\u00f4le de l\u2019expert-comptable dans l\u2019accompagnement de ses clients en mati\u00e8re de conformit\u00e9 RGPD\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        En application de l’article 155 du D\u00e9cret du 30 mars 2012 relatif \u00e0 l’exercice de l’activit\u00e9 d’expertise comptable, les experts-comptables sont tenus \u00e0 un devoir d\u2019information et de conseil \u00e0 l\u2019\u00e9gard de leurs clients ou adh\u00e9rents.<\/p>
        <\/p>
        D\u00e8s lors, dans sa qualit\u00e9 et son devoir de conseil, le r\u00f4le de l\u2019expert comptable est de veiller \u00e0 ce que ses clients respectent le RGPD, notamment \u00e0 l\u2019occasion de ses missions d\u2019audits ou de l\u2019\u00e9laboration de propositions offres d\u2019accompagnement. Pour \u00e9viter tout cas de contentieux en d\u00e9faut d’information et de conseil, les experts-comptables doivent donc \u00e0 minima informer leurs clients de leur obligation \u00e0 se mettre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Un partenariat entre la CNIL et le CSOEC a \u00e9t\u00e9 conclu en ce sens en 2020 afin notamment de diffuser une culture de la protection des donn\u00e9es personnelles aupr\u00e8s des experts-comptables, \u00e0 la fois pour la mise en conformit\u00e9 de leur propre structure mais \u00e9galement dans leur r\u00f4le de proximit\u00e9 aupr\u00e8s des entreprises.<\/p>
        <\/p>
        En effet, les experts-comptables ont une connaissance approfondie des risques li\u00e9s \u00e0 l\u2019activit\u00e9 de leurs clients et ils constituent un interlocuteur privil\u00e9gi\u00e9 pour r\u00e9pondre aux besoins de mise en conformit\u00e9 de ces derniers. Le CSOEC estime ainsi que \u00ab Les experts-comptables sont comp\u00e9tents en mati\u00e8re de protection des donn\u00e9es personnelles d\u00e8s lors qu\u2019ils ont d\u00e9j\u00e0 mis en place les obligations impos\u00e9es par le RGPD au sein de leurs cabinets. Ils peuvent donc proposer une mission dans laquelle ils accompagnent leurs entreprises clientes \u00e0 mettre en place le RGPD \u00bb.<\/p>
        <\/p>
        C’est dans ce contexte que l’expert-comptable est amen\u00e9 \u00e0 la fois \u00e0 alerter ses clients sur leur conformit\u00e9 RGPD et \u00e0 leur proposer des prestations de service relatives \u00e0 la mise en conformit\u00e9 RGPD.<\/p>
        <\/p>"}},{"@type":"Question","name":"Qu\u2019implique la mise en conformit\u00e9 au RGPD pour le cabinet d\u2019expertise comptable ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>\n
        Le processus de mise en conformit\u00e9 au RGPD implique de respecter la mise en \u0153uvre de plusieurs mesures, notamment :<\/p>\n
        <\/p>\n
        <\/p>\n
        Constituer un registre des traitements des donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Il permet au cabinet d\u2019avoir une vision d\u2019ensemble sur les traitements de donn\u00e9es qu\u2019il r\u00e9alise. Le registre requiert de proc\u00e9der \u00e0 une identification des activit\u00e9s principales du cabinet ayant recours au traitement de donn\u00e9es personnelles, c\u2019est ce qu\u2019on appelle les traitements. L’expert-comptable responsable de traitement ou le sous-traitant doit ainsi proc\u00e9der \u00e0 la cr\u00e9ation d\u2019une fiche pour chaque traitement recens\u00e9, en indiquant notamment sa finalit\u00e9, c\u2019est-\u00e0-dire l\u2019objectif en vue duquel les donn\u00e9es sont trait\u00e9es par le cabinet.<\/p>\n
        <\/p>\n
        Enfin, le registre doit \u00eatre mis \u00e0 jour r\u00e9guli\u00e8rement car les cabinets peuvent \u00eatre amen\u00e9s \u00e0 changer de logiciels, \u00e0 faire \u00e9voluer leur organisation interne ou \u00e0 changer de sous-traitants. La protection des donn\u00e9es doit donc \u00eatre continue.<\/p>\n
        <\/p>\n
        A noter : Il est vivement conseill\u00e9 de confier la tenue du registre de traitements au d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es (DPD) \/ data protection officer (DPO) qui se chargera de sa mise \u00e0 jour r\u00e9guli\u00e8rement.<\/em><\/p>\n
        <\/p>\n
        <\/p>\n
        Trier les donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le cabinet doit se limiter \u00e0 la collecte des donn\u00e9es strictement n\u00e9cessaires au traitement. C\u2019est le principe de minimisation des donn\u00e9es. Ainsi, les donn\u00e9es ne doivent \u00eatre trait\u00e9es que si :<\/p>\n
        <\/p>\n
        <\/p>\n
        elles sont n\u00e9cessaires \u00e0 l\u2019activit\u00e9 de l\u2019organisme ;<\/li>\n
        <\/p>\n
        il ne s\u2019agit pas de donn\u00e9es dites \u00ab sensibles \u00bb, dans le cas contraire il convient de s\u2019assurer que le cabinet a bien le droit de les traiter ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont accessibles uniquement aux personnes habilit\u00e9es ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont conserv\u00e9es uniquement le temps n\u00e9cessaire et\/ou r\u00e8glementaire ;<\/li>\n
        <\/p>\n
        Respecter les droits des personnes. <\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le RGPD a pour objectif de renforcer la protection des donn\u00e9es des personnes. C\u2019est pourquoi il est venu conf\u00e9rer \u00e0 ces derni\u00e8res un certain nombre de droits, notamment le droit d\u2019acc\u00e8s, de rectification, d\u2019opposition, d\u2019effacement, le droit \u00e0 la limitation du traitement, \u00e0 la portabilit\u00e9. C\u2019est au responsable de traitement qu\u2019il appartient de mettre en place les mesures visant \u00e0 faire respecter ces droits.<\/p>\n
        <\/p>\n
        <\/p>\n
        S\u00e9curiser les donn\u00e9es personnelles<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le responsable de traitement doit prendre les mesures n\u00e9cessaires afin de garantir la s\u00e9curisation des donn\u00e9es personnelles en r\u00e9duisant les risques de violations de donn\u00e9es en respectant notamment les principes suivants :<\/p>\n
        <\/p>\n
        <\/p>\n
        Le principe de confidentialit\u00e9 : les donn\u00e9es doivent \u00eatre accessibles aux seules personnes autoris\u00e9es<\/li>\n
        <\/p>\n
        Le principe d\u2019int\u00e9grit\u00e9 : les donn\u00e9es ne doivent pas \u00eatre alt\u00e9r\u00e9es ou modifi\u00e9es<\/li>\n
        <\/p>\n
        Le principe de disponibilit\u00e9 : les donn\u00e9es doivent \u00eatre en permanence accessibles aux personnes autoris\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Si un organisme subi une violation de donn\u00e9es, il doit proc\u00e9der \u00e0 un signalement \u00e0 la CNIL dans les 72 heures suivant la violation, si celle-ci est susceptible de repr\u00e9senter un risque pour les droits et libert\u00e9s des personnes concern\u00e9es.<\/p>\n
        <\/p>\n
        <\/p>\n
        Respecter le principe d\u2019accountability<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Ce principe d\u00e9signe l\u2019obligation pour les cabinets de mettre en \u0153uvre des m\u00e9canismes et des proc\u00e9dures internes permettant de d\u00e9montrer le respect des r\u00e8gles relatives \u00e0 la protection des donn\u00e9es.<\/p>\n
        <\/p>\n
        En cas de contr\u00f4le de la CNIL, la cabinet doit donc \u00eatre en mesure de d\u00e9montrer sa conformit\u00e9 au RGPD et les mesures prises \u00e0 cet effet.<\/p>\n
        <\/p>\n
        <\/p>\n
        R\u00e9vision des pratiques, contrats et lettre de mission rgpd expert-comptable<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Dans le cadre du processus de mise en conformit\u00e9, il est \u00e9galement n\u00e9cessaire de modifier tous les contrats de prestation et les lettres de mission du cabinet. L\u2019Ordre des experts comptables recommande en ce sens de revoir les contrats clients en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>\n
        <\/p>\n
        \u00c9galement, il est d\u00e9sormais exclu de communiquer des bulletins de paie par email. Il convient dor\u00e9navant d\u2019utiliser une plateforme<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quelles sont les nouvelles responsabilit\u00e9s qu\u2019implique le RGPD pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Au-del\u00e0 des responsabilit\u00e9s inh\u00e9rentes \u00e0 la qualit\u00e9 de responsable de traitement, le RGPD implique de nouvelles responsabilit\u00e9s pour les experts-comptables. Tout d\u2019abord, ils voient leur responsabilit\u00e9 renforc\u00e9e en mati\u00e8re de devoir d\u2019information et de conseil, du fait de leur devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit offrir \u00e0 ses clients \u00ab des garanties suffisantes quant \u00e0 la mise en \u0153uvre de mesures techniques et organisationnelles appropri\u00e9es de mani\u00e8re \u00e0 ce que le traitement r\u00e9ponde aux exigences du pr\u00e9sent r\u00e8glement et garantisse la protection des droits de la personne concern\u00e9e \u00bb (Art.28 RGPD).<\/p>
        <\/p>
        Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        
        Prononcer une amende administrative qui peut \u00eatre rendue publique et dont le montant peut s\u2019\u00e9lever :<\/li>
        Jusqu\u2019\u00e0 2 % du chiffre d\u2019affaires mondial de l\u2019entreprise pour des manquements tels que l\u2019absence de registre de traitements, le d\u00e9faut d\u2019annonce suite \u00e0 une faille d\u00e9cel\u00e9e, le d\u00e9faut d\u2019\u00e9tude d\u2019impact sur la vie priv\u00e9e (en cas de donn\u00e9es sensibles), etc.<\/li>
        Jusqu\u2019\u00e0 4 % du chiffre d\u2019affaires mondial notamment en cas de refus d\u2019obtemp\u00e9rer aux injonctions de la CNIL, de traitements de donn\u00e9es ill\u00e9gaux, de d\u00e9faut de consentement, de non-respect des droits des personnes, etc.<\/li><\/ul>
        <\/p>
        \u00c9galement, toute personne concern\u00e9e par une violation de ses donn\u00e9es personnelles par le responsable de traitement et\/ou son sous-traitant, et ayant subi un dommage mat\u00e9riel ou moral du fait de cette violation, peut obtenir r\u00e9paration de son pr\u00e9judice notamment sous la forme de dommages et int\u00e9r\u00eats. En cas de contr\u00f4le de la CNIL, vous devez \u00eatre en mesure de garantir la protection des donn\u00e9es personnelles et de d\u00e9montrer les mesures prises \u00e0 cet effet.<\/p>
        <\/p>"}},{"@type":"Question","name":"Pourquoi se mettre en conformit\u00e9 au RGPD\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>\n
        Il est n\u00e9cessaire de se mettre en conformit\u00e9 au RGPD et ce pour plusieurs raisons.<\/p>\n
        <\/p>\n
        Tout d\u2019abord, il s\u2019agit d\u2019une obligation impos\u00e9e \u00e0 tout organisme, public ou priv\u00e9, traitant des donn\u00e9es personnelles d\u00e8s lors que celui-ci est \u00e9tabli sur le territoire de l\u2019Union europ\u00e9enne ou que son activit\u00e9 cible directement des r\u00e9sidents europ\u00e9ens.<\/p>\n
        <\/p>\n
        Ensuite, les organisations non conformes au RGPD s\u2019exposent \u00e0 de forts risques de sanctions dont notamment des amendes administratives pouvant s\u2019\u00e9lever \u00e0 hauteur de 2 ou 4% du chiffre d’affaires annuel mondial de l\u2019entreprise.<\/p>\n
        <\/p>\n
        Enfin, au-del\u00e0 d\u2019\u00eatre une obligation l\u00e9gale et r\u00e8glementaire et de constituer un risque accru de sanction, le RGPD est une v\u00e9ritable opportunit\u00e9 puisqu\u2019il permet de :<\/p>\n
        <\/p>\n
        <\/p>\n
        Valoriser la data en exploitant les donn\u00e9es de mani\u00e8re l\u00e9gale et qualitative<\/li>\n
        <\/p>\n
        Accro\u00eetre la confiance des clients, partenaires et prospects gr\u00e2ce \u00e0 la transparence<\/li>\n
        <\/p>\n
        Conforter et renforcer l\u2019image de marque du cabinet<\/li>\n
        <\/p>\n
        Acqu\u00e9rir de nouveaux clients et de nouveaux march\u00e9s<\/li>\n
        <\/p>\n
        Remporter des appels d\u2019offre (les acheteurs publics ont l\u2019obligation de v\u00e9rifier la conformit\u00e9 RGPD des soumissionnaires \u00e0 appel d\u2019offres)<\/li>\n
        <\/p>\n
        Am\u00e9liorer l\u2019organisation interne et renforcer la confiance des collaborateurs de l\u2019organisme<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        \u00catre conforme RGPD est donc primordial.<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quel est le r\u00f4le de l\u2019expert-comptable dans l\u2019accompagnement de ses clients en mati\u00e8re de conformit\u00e9 RGPD\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        En application de l’article 155 du D\u00e9cret du 30 mars 2012 relatif \u00e0 l’exercice de l’activit\u00e9 d’expertise comptable, les experts-comptables sont tenus \u00e0 un devoir d\u2019information et de conseil \u00e0 l\u2019\u00e9gard de leurs clients ou adh\u00e9rents.<\/p>
        <\/p>
        D\u00e8s lors, dans sa qualit\u00e9 et son devoir de conseil, le r\u00f4le de l\u2019expert comptable est de veiller \u00e0 ce que ses clients respectent le RGPD, notamment \u00e0 l\u2019occasion de ses missions d\u2019audits ou de l\u2019\u00e9laboration de propositions offres d\u2019accompagnement. Pour \u00e9viter tout cas de contentieux en d\u00e9faut d’information et de conseil, les experts-comptables doivent donc \u00e0 minima informer leurs clients de leur obligation \u00e0 se mettre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Un partenariat entre la CNIL et le CSOEC a \u00e9t\u00e9 conclu en ce sens en 2020 afin notamment de diffuser une culture de la protection des donn\u00e9es personnelles aupr\u00e8s des experts-comptables, \u00e0 la fois pour la mise en conformit\u00e9 de leur propre structure mais \u00e9galement dans leur r\u00f4le de proximit\u00e9 aupr\u00e8s des entreprises.<\/p>
        <\/p>
        En effet, les experts-comptables ont une connaissance approfondie des risques li\u00e9s \u00e0 l\u2019activit\u00e9 de leurs clients et ils constituent un interlocuteur privil\u00e9gi\u00e9 pour r\u00e9pondre aux besoins de mise en conformit\u00e9 de ces derniers. Le CSOEC estime ainsi que \u00ab Les experts-comptables sont comp\u00e9tents en mati\u00e8re de protection des donn\u00e9es personnelles d\u00e8s lors qu\u2019ils ont d\u00e9j\u00e0 mis en place les obligations impos\u00e9es par le RGPD au sein de leurs cabinets. Ils peuvent donc proposer une mission dans laquelle ils accompagnent leurs entreprises clientes \u00e0 mettre en place le RGPD \u00bb.<\/p>
        <\/p>
        C’est dans ce contexte que l’expert-comptable est amen\u00e9 \u00e0 la fois \u00e0 alerter ses clients sur leur conformit\u00e9 RGPD et \u00e0 leur proposer des prestations de service relatives \u00e0 la mise en conformit\u00e9 RGPD.<\/p>
        <\/p>"}},{"@type":"Question","name":"Qu\u2019implique la mise en conformit\u00e9 au RGPD pour le cabinet d\u2019expertise comptable ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>\n
        Le processus de mise en conformit\u00e9 au RGPD implique de respecter la mise en \u0153uvre de plusieurs mesures, notamment :<\/p>\n
        <\/p>\n
        <\/p>\n
        Constituer un registre des traitements des donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Il permet au cabinet d\u2019avoir une vision d\u2019ensemble sur les traitements de donn\u00e9es qu\u2019il r\u00e9alise. Le registre requiert de proc\u00e9der \u00e0 une identification des activit\u00e9s principales du cabinet ayant recours au traitement de donn\u00e9es personnelles, c\u2019est ce qu\u2019on appelle les traitements. L’expert-comptable responsable de traitement ou le sous-traitant doit ainsi proc\u00e9der \u00e0 la cr\u00e9ation d\u2019une fiche pour chaque traitement recens\u00e9, en indiquant notamment sa finalit\u00e9, c\u2019est-\u00e0-dire l\u2019objectif en vue duquel les donn\u00e9es sont trait\u00e9es par le cabinet.<\/p>\n
        <\/p>\n
        Enfin, le registre doit \u00eatre mis \u00e0 jour r\u00e9guli\u00e8rement car les cabinets peuvent \u00eatre amen\u00e9s \u00e0 changer de logiciels, \u00e0 faire \u00e9voluer leur organisation interne ou \u00e0 changer de sous-traitants. La protection des donn\u00e9es doit donc \u00eatre continue.<\/p>\n
        <\/p>\n
        A noter : Il est vivement conseill\u00e9 de confier la tenue du registre de traitements au d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es (DPD) \/ data protection officer (DPO) qui se chargera de sa mise \u00e0 jour r\u00e9guli\u00e8rement.<\/em><\/p>\n
        <\/p>\n
        <\/p>\n
        Trier les donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le cabinet doit se limiter \u00e0 la collecte des donn\u00e9es strictement n\u00e9cessaires au traitement. C\u2019est le principe de minimisation des donn\u00e9es. Ainsi, les donn\u00e9es ne doivent \u00eatre trait\u00e9es que si :<\/p>\n
        <\/p>\n
        <\/p>\n
        elles sont n\u00e9cessaires \u00e0 l\u2019activit\u00e9 de l\u2019organisme ;<\/li>\n
        <\/p>\n
        il ne s\u2019agit pas de donn\u00e9es dites \u00ab sensibles \u00bb, dans le cas contraire il convient de s\u2019assurer que le cabinet a bien le droit de les traiter ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont accessibles uniquement aux personnes habilit\u00e9es ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont conserv\u00e9es uniquement le temps n\u00e9cessaire et\/ou r\u00e8glementaire ;<\/li>\n
        <\/p>\n
        Respecter les droits des personnes. <\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le RGPD a pour objectif de renforcer la protection des donn\u00e9es des personnes. C\u2019est pourquoi il est venu conf\u00e9rer \u00e0 ces derni\u00e8res un certain nombre de droits, notamment le droit d\u2019acc\u00e8s, de rectification, d\u2019opposition, d\u2019effacement, le droit \u00e0 la limitation du traitement, \u00e0 la portabilit\u00e9. C\u2019est au responsable de traitement qu\u2019il appartient de mettre en place les mesures visant \u00e0 faire respecter ces droits.<\/p>\n
        <\/p>\n
        <\/p>\n
        S\u00e9curiser les donn\u00e9es personnelles<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le responsable de traitement doit prendre les mesures n\u00e9cessaires afin de garantir la s\u00e9curisation des donn\u00e9es personnelles en r\u00e9duisant les risques de violations de donn\u00e9es en respectant notamment les principes suivants :<\/p>\n
        <\/p>\n
        <\/p>\n
        Le principe de confidentialit\u00e9 : les donn\u00e9es doivent \u00eatre accessibles aux seules personnes autoris\u00e9es<\/li>\n
        <\/p>\n
        Le principe d\u2019int\u00e9grit\u00e9 : les donn\u00e9es ne doivent pas \u00eatre alt\u00e9r\u00e9es ou modifi\u00e9es<\/li>\n
        <\/p>\n
        Le principe de disponibilit\u00e9 : les donn\u00e9es doivent \u00eatre en permanence accessibles aux personnes autoris\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Si un organisme subi une violation de donn\u00e9es, il doit proc\u00e9der \u00e0 un signalement \u00e0 la CNIL dans les 72 heures suivant la violation, si celle-ci est susceptible de repr\u00e9senter un risque pour les droits et libert\u00e9s des personnes concern\u00e9es.<\/p>\n
        <\/p>\n
        <\/p>\n
        Respecter le principe d\u2019accountability<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Ce principe d\u00e9signe l\u2019obligation pour les cabinets de mettre en \u0153uvre des m\u00e9canismes et des proc\u00e9dures internes permettant de d\u00e9montrer le respect des r\u00e8gles relatives \u00e0 la protection des donn\u00e9es.<\/p>\n
        <\/p>\n
        En cas de contr\u00f4le de la CNIL, la cabinet doit donc \u00eatre en mesure de d\u00e9montrer sa conformit\u00e9 au RGPD et les mesures prises \u00e0 cet effet.<\/p>\n
        <\/p>\n
        <\/p>\n
        R\u00e9vision des pratiques, contrats et lettre de mission rgpd expert-comptable<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Dans le cadre du processus de mise en conformit\u00e9, il est \u00e9galement n\u00e9cessaire de modifier tous les contrats de prestation et les lettres de mission du cabinet. L\u2019Ordre des experts comptables recommande en ce sens de revoir les contrats clients en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>\n
        <\/p>\n
        \u00c9galement, il est d\u00e9sormais exclu de communiquer des bulletins de paie par email. Il convient dor\u00e9navant d\u2019utiliser une plateforme<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quelles sont les nouvelles responsabilit\u00e9s qu\u2019implique le RGPD pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Au-del\u00e0 des responsabilit\u00e9s inh\u00e9rentes \u00e0 la qualit\u00e9 de responsable de traitement, le RGPD implique de nouvelles responsabilit\u00e9s pour les experts-comptables. Tout d\u2019abord, ils voient leur responsabilit\u00e9 renforc\u00e9e en mati\u00e8re de devoir d\u2019information et de conseil, du fait de leur devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit offrir \u00e0 ses clients \u00ab des garanties suffisantes quant \u00e0 la mise en \u0153uvre de mesures techniques et organisationnelles appropri\u00e9es de mani\u00e8re \u00e0 ce que le traitement r\u00e9ponde aux exigences du pr\u00e9sent r\u00e8glement et garantisse la protection des droits de la personne concern\u00e9e \u00bb (Art.28 RGPD).<\/p>
        <\/p>
        Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        
        Ordonner de satisfaire aux demandes d’exercice des droits des personnes, y compris sous astreinte ;<\/li>
        Prononcer une amende administrative qui peut \u00eatre rendue publique et dont le montant peut s\u2019\u00e9lever :<\/li>
        Jusqu\u2019\u00e0 2 % du chiffre d\u2019affaires mondial de l\u2019entreprise pour des manquements tels que l\u2019absence de registre de traitements, le d\u00e9faut d\u2019annonce suite \u00e0 une faille d\u00e9cel\u00e9e, le d\u00e9faut d\u2019\u00e9tude d\u2019impact sur la vie priv\u00e9e (en cas de donn\u00e9es sensibles), etc.<\/li>
        Jusqu\u2019\u00e0 4 % du chiffre d\u2019affaires mondial notamment en cas de refus d\u2019obtemp\u00e9rer aux injonctions de la CNIL, de traitements de donn\u00e9es ill\u00e9gaux, de d\u00e9faut de consentement, de non-respect des droits des personnes, etc.<\/li><\/ul>
        <\/p>
        \u00c9galement, toute personne concern\u00e9e par une violation de ses donn\u00e9es personnelles par le responsable de traitement et\/ou son sous-traitant, et ayant subi un dommage mat\u00e9riel ou moral du fait de cette violation, peut obtenir r\u00e9paration de son pr\u00e9judice notamment sous la forme de dommages et int\u00e9r\u00eats. En cas de contr\u00f4le de la CNIL, vous devez \u00eatre en mesure de garantir la protection des donn\u00e9es personnelles et de d\u00e9montrer les mesures prises \u00e0 cet effet.<\/p>
        <\/p>"}},{"@type":"Question","name":"Pourquoi se mettre en conformit\u00e9 au RGPD\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>\n
        Il est n\u00e9cessaire de se mettre en conformit\u00e9 au RGPD et ce pour plusieurs raisons.<\/p>\n
        <\/p>\n
        Tout d\u2019abord, il s\u2019agit d\u2019une obligation impos\u00e9e \u00e0 tout organisme, public ou priv\u00e9, traitant des donn\u00e9es personnelles d\u00e8s lors que celui-ci est \u00e9tabli sur le territoire de l\u2019Union europ\u00e9enne ou que son activit\u00e9 cible directement des r\u00e9sidents europ\u00e9ens.<\/p>\n
        <\/p>\n
        Ensuite, les organisations non conformes au RGPD s\u2019exposent \u00e0 de forts risques de sanctions dont notamment des amendes administratives pouvant s\u2019\u00e9lever \u00e0 hauteur de 2 ou 4% du chiffre d’affaires annuel mondial de l\u2019entreprise.<\/p>\n
        <\/p>\n
        Enfin, au-del\u00e0 d\u2019\u00eatre une obligation l\u00e9gale et r\u00e8glementaire et de constituer un risque accru de sanction, le RGPD est une v\u00e9ritable opportunit\u00e9 puisqu\u2019il permet de :<\/p>\n
        <\/p>\n
        <\/p>\n
        Valoriser la data en exploitant les donn\u00e9es de mani\u00e8re l\u00e9gale et qualitative<\/li>\n
        <\/p>\n
        Accro\u00eetre la confiance des clients, partenaires et prospects gr\u00e2ce \u00e0 la transparence<\/li>\n
        <\/p>\n
        Conforter et renforcer l\u2019image de marque du cabinet<\/li>\n
        <\/p>\n
        Acqu\u00e9rir de nouveaux clients et de nouveaux march\u00e9s<\/li>\n
        <\/p>\n
        Remporter des appels d\u2019offre (les acheteurs publics ont l\u2019obligation de v\u00e9rifier la conformit\u00e9 RGPD des soumissionnaires \u00e0 appel d\u2019offres)<\/li>\n
        <\/p>\n
        Am\u00e9liorer l\u2019organisation interne et renforcer la confiance des collaborateurs de l\u2019organisme<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        \u00catre conforme RGPD est donc primordial.<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quel est le r\u00f4le de l\u2019expert-comptable dans l\u2019accompagnement de ses clients en mati\u00e8re de conformit\u00e9 RGPD\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        En application de l’article 155 du D\u00e9cret du 30 mars 2012 relatif \u00e0 l’exercice de l’activit\u00e9 d’expertise comptable, les experts-comptables sont tenus \u00e0 un devoir d\u2019information et de conseil \u00e0 l\u2019\u00e9gard de leurs clients ou adh\u00e9rents.<\/p>
        <\/p>
        D\u00e8s lors, dans sa qualit\u00e9 et son devoir de conseil, le r\u00f4le de l\u2019expert comptable est de veiller \u00e0 ce que ses clients respectent le RGPD, notamment \u00e0 l\u2019occasion de ses missions d\u2019audits ou de l\u2019\u00e9laboration de propositions offres d\u2019accompagnement. Pour \u00e9viter tout cas de contentieux en d\u00e9faut d’information et de conseil, les experts-comptables doivent donc \u00e0 minima informer leurs clients de leur obligation \u00e0 se mettre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Un partenariat entre la CNIL et le CSOEC a \u00e9t\u00e9 conclu en ce sens en 2020 afin notamment de diffuser une culture de la protection des donn\u00e9es personnelles aupr\u00e8s des experts-comptables, \u00e0 la fois pour la mise en conformit\u00e9 de leur propre structure mais \u00e9galement dans leur r\u00f4le de proximit\u00e9 aupr\u00e8s des entreprises.<\/p>
        <\/p>
        En effet, les experts-comptables ont une connaissance approfondie des risques li\u00e9s \u00e0 l\u2019activit\u00e9 de leurs clients et ils constituent un interlocuteur privil\u00e9gi\u00e9 pour r\u00e9pondre aux besoins de mise en conformit\u00e9 de ces derniers. Le CSOEC estime ainsi que \u00ab Les experts-comptables sont comp\u00e9tents en mati\u00e8re de protection des donn\u00e9es personnelles d\u00e8s lors qu\u2019ils ont d\u00e9j\u00e0 mis en place les obligations impos\u00e9es par le RGPD au sein de leurs cabinets. Ils peuvent donc proposer une mission dans laquelle ils accompagnent leurs entreprises clientes \u00e0 mettre en place le RGPD \u00bb.<\/p>
        <\/p>
        C’est dans ce contexte que l’expert-comptable est amen\u00e9 \u00e0 la fois \u00e0 alerter ses clients sur leur conformit\u00e9 RGPD et \u00e0 leur proposer des prestations de service relatives \u00e0 la mise en conformit\u00e9 RGPD.<\/p>
        <\/p>"}},{"@type":"Question","name":"Qu\u2019implique la mise en conformit\u00e9 au RGPD pour le cabinet d\u2019expertise comptable ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>\n
        Le processus de mise en conformit\u00e9 au RGPD implique de respecter la mise en \u0153uvre de plusieurs mesures, notamment :<\/p>\n
        <\/p>\n
        <\/p>\n
        Constituer un registre des traitements des donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Il permet au cabinet d\u2019avoir une vision d\u2019ensemble sur les traitements de donn\u00e9es qu\u2019il r\u00e9alise. Le registre requiert de proc\u00e9der \u00e0 une identification des activit\u00e9s principales du cabinet ayant recours au traitement de donn\u00e9es personnelles, c\u2019est ce qu\u2019on appelle les traitements. L’expert-comptable responsable de traitement ou le sous-traitant doit ainsi proc\u00e9der \u00e0 la cr\u00e9ation d\u2019une fiche pour chaque traitement recens\u00e9, en indiquant notamment sa finalit\u00e9, c\u2019est-\u00e0-dire l\u2019objectif en vue duquel les donn\u00e9es sont trait\u00e9es par le cabinet.<\/p>\n
        <\/p>\n
        Enfin, le registre doit \u00eatre mis \u00e0 jour r\u00e9guli\u00e8rement car les cabinets peuvent \u00eatre amen\u00e9s \u00e0 changer de logiciels, \u00e0 faire \u00e9voluer leur organisation interne ou \u00e0 changer de sous-traitants. La protection des donn\u00e9es doit donc \u00eatre continue.<\/p>\n
        <\/p>\n
        A noter : Il est vivement conseill\u00e9 de confier la tenue du registre de traitements au d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es (DPD) \/ data protection officer (DPO) qui se chargera de sa mise \u00e0 jour r\u00e9guli\u00e8rement.<\/em><\/p>\n
        <\/p>\n
        <\/p>\n
        Trier les donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le cabinet doit se limiter \u00e0 la collecte des donn\u00e9es strictement n\u00e9cessaires au traitement. C\u2019est le principe de minimisation des donn\u00e9es. Ainsi, les donn\u00e9es ne doivent \u00eatre trait\u00e9es que si :<\/p>\n
        <\/p>\n
        <\/p>\n
        elles sont n\u00e9cessaires \u00e0 l\u2019activit\u00e9 de l\u2019organisme ;<\/li>\n
        <\/p>\n
        il ne s\u2019agit pas de donn\u00e9es dites \u00ab sensibles \u00bb, dans le cas contraire il convient de s\u2019assurer que le cabinet a bien le droit de les traiter ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont accessibles uniquement aux personnes habilit\u00e9es ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont conserv\u00e9es uniquement le temps n\u00e9cessaire et\/ou r\u00e8glementaire ;<\/li>\n
        <\/p>\n
        Respecter les droits des personnes. <\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le RGPD a pour objectif de renforcer la protection des donn\u00e9es des personnes. C\u2019est pourquoi il est venu conf\u00e9rer \u00e0 ces derni\u00e8res un certain nombre de droits, notamment le droit d\u2019acc\u00e8s, de rectification, d\u2019opposition, d\u2019effacement, le droit \u00e0 la limitation du traitement, \u00e0 la portabilit\u00e9. C\u2019est au responsable de traitement qu\u2019il appartient de mettre en place les mesures visant \u00e0 faire respecter ces droits.<\/p>\n
        <\/p>\n
        <\/p>\n
        S\u00e9curiser les donn\u00e9es personnelles<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le responsable de traitement doit prendre les mesures n\u00e9cessaires afin de garantir la s\u00e9curisation des donn\u00e9es personnelles en r\u00e9duisant les risques de violations de donn\u00e9es en respectant notamment les principes suivants :<\/p>\n
        <\/p>\n
        <\/p>\n
        Le principe de confidentialit\u00e9 : les donn\u00e9es doivent \u00eatre accessibles aux seules personnes autoris\u00e9es<\/li>\n
        <\/p>\n
        Le principe d\u2019int\u00e9grit\u00e9 : les donn\u00e9es ne doivent pas \u00eatre alt\u00e9r\u00e9es ou modifi\u00e9es<\/li>\n
        <\/p>\n
        Le principe de disponibilit\u00e9 : les donn\u00e9es doivent \u00eatre en permanence accessibles aux personnes autoris\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Si un organisme subi une violation de donn\u00e9es, il doit proc\u00e9der \u00e0 un signalement \u00e0 la CNIL dans les 72 heures suivant la violation, si celle-ci est susceptible de repr\u00e9senter un risque pour les droits et libert\u00e9s des personnes concern\u00e9es.<\/p>\n
        <\/p>\n
        <\/p>\n
        Respecter le principe d\u2019accountability<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Ce principe d\u00e9signe l\u2019obligation pour les cabinets de mettre en \u0153uvre des m\u00e9canismes et des proc\u00e9dures internes permettant de d\u00e9montrer le respect des r\u00e8gles relatives \u00e0 la protection des donn\u00e9es.<\/p>\n
        <\/p>\n
        En cas de contr\u00f4le de la CNIL, la cabinet doit donc \u00eatre en mesure de d\u00e9montrer sa conformit\u00e9 au RGPD et les mesures prises \u00e0 cet effet.<\/p>\n
        <\/p>\n
        <\/p>\n
        R\u00e9vision des pratiques, contrats et lettre de mission rgpd expert-comptable<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Dans le cadre du processus de mise en conformit\u00e9, il est \u00e9galement n\u00e9cessaire de modifier tous les contrats de prestation et les lettres de mission du cabinet. L\u2019Ordre des experts comptables recommande en ce sens de revoir les contrats clients en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>\n
        <\/p>\n
        \u00c9galement, il est d\u00e9sormais exclu de communiquer des bulletins de paie par email. Il convient dor\u00e9navant d\u2019utiliser une plateforme<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quelles sont les nouvelles responsabilit\u00e9s qu\u2019implique le RGPD pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Au-del\u00e0 des responsabilit\u00e9s inh\u00e9rentes \u00e0 la qualit\u00e9 de responsable de traitement, le RGPD implique de nouvelles responsabilit\u00e9s pour les experts-comptables. Tout d\u2019abord, ils voient leur responsabilit\u00e9 renforc\u00e9e en mati\u00e8re de devoir d\u2019information et de conseil, du fait de leur devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit offrir \u00e0 ses clients \u00ab des garanties suffisantes quant \u00e0 la mise en \u0153uvre de mesures techniques et organisationnelles appropri\u00e9es de mani\u00e8re \u00e0 ce que le traitement r\u00e9ponde aux exigences du pr\u00e9sent r\u00e8glement et garantisse la protection des droits de la personne concern\u00e9e \u00bb (Art.28 RGPD).<\/p>
        <\/p>
        Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        
        Suspendre les flux de donn\u00e9es ;<\/li>
        Ordonner de satisfaire aux demandes d’exercice des droits des personnes, y compris sous astreinte ;<\/li>
        Prononcer une amende administrative qui peut \u00eatre rendue publique et dont le montant peut s\u2019\u00e9lever :<\/li>
        Jusqu\u2019\u00e0 2 % du chiffre d\u2019affaires mondial de l\u2019entreprise pour des manquements tels que l\u2019absence de registre de traitements, le d\u00e9faut d\u2019annonce suite \u00e0 une faille d\u00e9cel\u00e9e, le d\u00e9faut d\u2019\u00e9tude d\u2019impact sur la vie priv\u00e9e (en cas de donn\u00e9es sensibles), etc.<\/li>
        Jusqu\u2019\u00e0 4 % du chiffre d\u2019affaires mondial notamment en cas de refus d\u2019obtemp\u00e9rer aux injonctions de la CNIL, de traitements de donn\u00e9es ill\u00e9gaux, de d\u00e9faut de consentement, de non-respect des droits des personnes, etc.<\/li><\/ul>
        <\/p>
        \u00c9galement, toute personne concern\u00e9e par une violation de ses donn\u00e9es personnelles par le responsable de traitement et\/ou son sous-traitant, et ayant subi un dommage mat\u00e9riel ou moral du fait de cette violation, peut obtenir r\u00e9paration de son pr\u00e9judice notamment sous la forme de dommages et int\u00e9r\u00eats. En cas de contr\u00f4le de la CNIL, vous devez \u00eatre en mesure de garantir la protection des donn\u00e9es personnelles et de d\u00e9montrer les mesures prises \u00e0 cet effet.<\/p>
        <\/p>"}},{"@type":"Question","name":"Pourquoi se mettre en conformit\u00e9 au RGPD\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>\n
        Il est n\u00e9cessaire de se mettre en conformit\u00e9 au RGPD et ce pour plusieurs raisons.<\/p>\n
        <\/p>\n
        Tout d\u2019abord, il s\u2019agit d\u2019une obligation impos\u00e9e \u00e0 tout organisme, public ou priv\u00e9, traitant des donn\u00e9es personnelles d\u00e8s lors que celui-ci est \u00e9tabli sur le territoire de l\u2019Union europ\u00e9enne ou que son activit\u00e9 cible directement des r\u00e9sidents europ\u00e9ens.<\/p>\n
        <\/p>\n
        Ensuite, les organisations non conformes au RGPD s\u2019exposent \u00e0 de forts risques de sanctions dont notamment des amendes administratives pouvant s\u2019\u00e9lever \u00e0 hauteur de 2 ou 4% du chiffre d’affaires annuel mondial de l\u2019entreprise.<\/p>\n
        <\/p>\n
        Enfin, au-del\u00e0 d\u2019\u00eatre une obligation l\u00e9gale et r\u00e8glementaire et de constituer un risque accru de sanction, le RGPD est une v\u00e9ritable opportunit\u00e9 puisqu\u2019il permet de :<\/p>\n
        <\/p>\n
        <\/p>\n
        Valoriser la data en exploitant les donn\u00e9es de mani\u00e8re l\u00e9gale et qualitative<\/li>\n
        <\/p>\n
        Accro\u00eetre la confiance des clients, partenaires et prospects gr\u00e2ce \u00e0 la transparence<\/li>\n
        <\/p>\n
        Conforter et renforcer l\u2019image de marque du cabinet<\/li>\n
        <\/p>\n
        Acqu\u00e9rir de nouveaux clients et de nouveaux march\u00e9s<\/li>\n
        <\/p>\n
        Remporter des appels d\u2019offre (les acheteurs publics ont l\u2019obligation de v\u00e9rifier la conformit\u00e9 RGPD des soumissionnaires \u00e0 appel d\u2019offres)<\/li>\n
        <\/p>\n
        Am\u00e9liorer l\u2019organisation interne et renforcer la confiance des collaborateurs de l\u2019organisme<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        \u00catre conforme RGPD est donc primordial.<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quel est le r\u00f4le de l\u2019expert-comptable dans l\u2019accompagnement de ses clients en mati\u00e8re de conformit\u00e9 RGPD\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        En application de l’article 155 du D\u00e9cret du 30 mars 2012 relatif \u00e0 l’exercice de l’activit\u00e9 d’expertise comptable, les experts-comptables sont tenus \u00e0 un devoir d\u2019information et de conseil \u00e0 l\u2019\u00e9gard de leurs clients ou adh\u00e9rents.<\/p>
        <\/p>
        D\u00e8s lors, dans sa qualit\u00e9 et son devoir de conseil, le r\u00f4le de l\u2019expert comptable est de veiller \u00e0 ce que ses clients respectent le RGPD, notamment \u00e0 l\u2019occasion de ses missions d\u2019audits ou de l\u2019\u00e9laboration de propositions offres d\u2019accompagnement. Pour \u00e9viter tout cas de contentieux en d\u00e9faut d’information et de conseil, les experts-comptables doivent donc \u00e0 minima informer leurs clients de leur obligation \u00e0 se mettre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Un partenariat entre la CNIL et le CSOEC a \u00e9t\u00e9 conclu en ce sens en 2020 afin notamment de diffuser une culture de la protection des donn\u00e9es personnelles aupr\u00e8s des experts-comptables, \u00e0 la fois pour la mise en conformit\u00e9 de leur propre structure mais \u00e9galement dans leur r\u00f4le de proximit\u00e9 aupr\u00e8s des entreprises.<\/p>
        <\/p>
        En effet, les experts-comptables ont une connaissance approfondie des risques li\u00e9s \u00e0 l\u2019activit\u00e9 de leurs clients et ils constituent un interlocuteur privil\u00e9gi\u00e9 pour r\u00e9pondre aux besoins de mise en conformit\u00e9 de ces derniers. Le CSOEC estime ainsi que \u00ab Les experts-comptables sont comp\u00e9tents en mati\u00e8re de protection des donn\u00e9es personnelles d\u00e8s lors qu\u2019ils ont d\u00e9j\u00e0 mis en place les obligations impos\u00e9es par le RGPD au sein de leurs cabinets. Ils peuvent donc proposer une mission dans laquelle ils accompagnent leurs entreprises clientes \u00e0 mettre en place le RGPD \u00bb.<\/p>
        <\/p>
        C’est dans ce contexte que l’expert-comptable est amen\u00e9 \u00e0 la fois \u00e0 alerter ses clients sur leur conformit\u00e9 RGPD et \u00e0 leur proposer des prestations de service relatives \u00e0 la mise en conformit\u00e9 RGPD.<\/p>
        <\/p>"}},{"@type":"Question","name":"Qu\u2019implique la mise en conformit\u00e9 au RGPD pour le cabinet d\u2019expertise comptable ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>\n
        Le processus de mise en conformit\u00e9 au RGPD implique de respecter la mise en \u0153uvre de plusieurs mesures, notamment :<\/p>\n
        <\/p>\n
        <\/p>\n
        Constituer un registre des traitements des donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Il permet au cabinet d\u2019avoir une vision d\u2019ensemble sur les traitements de donn\u00e9es qu\u2019il r\u00e9alise. Le registre requiert de proc\u00e9der \u00e0 une identification des activit\u00e9s principales du cabinet ayant recours au traitement de donn\u00e9es personnelles, c\u2019est ce qu\u2019on appelle les traitements. L’expert-comptable responsable de traitement ou le sous-traitant doit ainsi proc\u00e9der \u00e0 la cr\u00e9ation d\u2019une fiche pour chaque traitement recens\u00e9, en indiquant notamment sa finalit\u00e9, c\u2019est-\u00e0-dire l\u2019objectif en vue duquel les donn\u00e9es sont trait\u00e9es par le cabinet.<\/p>\n
        <\/p>\n
        Enfin, le registre doit \u00eatre mis \u00e0 jour r\u00e9guli\u00e8rement car les cabinets peuvent \u00eatre amen\u00e9s \u00e0 changer de logiciels, \u00e0 faire \u00e9voluer leur organisation interne ou \u00e0 changer de sous-traitants. La protection des donn\u00e9es doit donc \u00eatre continue.<\/p>\n
        <\/p>\n
        A noter : Il est vivement conseill\u00e9 de confier la tenue du registre de traitements au d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es (DPD) \/ data protection officer (DPO) qui se chargera de sa mise \u00e0 jour r\u00e9guli\u00e8rement.<\/em><\/p>\n
        <\/p>\n
        <\/p>\n
        Trier les donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le cabinet doit se limiter \u00e0 la collecte des donn\u00e9es strictement n\u00e9cessaires au traitement. C\u2019est le principe de minimisation des donn\u00e9es. Ainsi, les donn\u00e9es ne doivent \u00eatre trait\u00e9es que si :<\/p>\n
        <\/p>\n
        <\/p>\n
        elles sont n\u00e9cessaires \u00e0 l\u2019activit\u00e9 de l\u2019organisme ;<\/li>\n
        <\/p>\n
        il ne s\u2019agit pas de donn\u00e9es dites \u00ab sensibles \u00bb, dans le cas contraire il convient de s\u2019assurer que le cabinet a bien le droit de les traiter ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont accessibles uniquement aux personnes habilit\u00e9es ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont conserv\u00e9es uniquement le temps n\u00e9cessaire et\/ou r\u00e8glementaire ;<\/li>\n
        <\/p>\n
        Respecter les droits des personnes. <\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le RGPD a pour objectif de renforcer la protection des donn\u00e9es des personnes. C\u2019est pourquoi il est venu conf\u00e9rer \u00e0 ces derni\u00e8res un certain nombre de droits, notamment le droit d\u2019acc\u00e8s, de rectification, d\u2019opposition, d\u2019effacement, le droit \u00e0 la limitation du traitement, \u00e0 la portabilit\u00e9. C\u2019est au responsable de traitement qu\u2019il appartient de mettre en place les mesures visant \u00e0 faire respecter ces droits.<\/p>\n
        <\/p>\n
        <\/p>\n
        S\u00e9curiser les donn\u00e9es personnelles<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le responsable de traitement doit prendre les mesures n\u00e9cessaires afin de garantir la s\u00e9curisation des donn\u00e9es personnelles en r\u00e9duisant les risques de violations de donn\u00e9es en respectant notamment les principes suivants :<\/p>\n
        <\/p>\n
        <\/p>\n
        Le principe de confidentialit\u00e9 : les donn\u00e9es doivent \u00eatre accessibles aux seules personnes autoris\u00e9es<\/li>\n
        <\/p>\n
        Le principe d\u2019int\u00e9grit\u00e9 : les donn\u00e9es ne doivent pas \u00eatre alt\u00e9r\u00e9es ou modifi\u00e9es<\/li>\n
        <\/p>\n
        Le principe de disponibilit\u00e9 : les donn\u00e9es doivent \u00eatre en permanence accessibles aux personnes autoris\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Si un organisme subi une violation de donn\u00e9es, il doit proc\u00e9der \u00e0 un signalement \u00e0 la CNIL dans les 72 heures suivant la violation, si celle-ci est susceptible de repr\u00e9senter un risque pour les droits et libert\u00e9s des personnes concern\u00e9es.<\/p>\n
        <\/p>\n
        <\/p>\n
        Respecter le principe d\u2019accountability<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Ce principe d\u00e9signe l\u2019obligation pour les cabinets de mettre en \u0153uvre des m\u00e9canismes et des proc\u00e9dures internes permettant de d\u00e9montrer le respect des r\u00e8gles relatives \u00e0 la protection des donn\u00e9es.<\/p>\n
        <\/p>\n
        En cas de contr\u00f4le de la CNIL, la cabinet doit donc \u00eatre en mesure de d\u00e9montrer sa conformit\u00e9 au RGPD et les mesures prises \u00e0 cet effet.<\/p>\n
        <\/p>\n
        <\/p>\n
        R\u00e9vision des pratiques, contrats et lettre de mission rgpd expert-comptable<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Dans le cadre du processus de mise en conformit\u00e9, il est \u00e9galement n\u00e9cessaire de modifier tous les contrats de prestation et les lettres de mission du cabinet. L\u2019Ordre des experts comptables recommande en ce sens de revoir les contrats clients en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>\n
        <\/p>\n
        \u00c9galement, il est d\u00e9sormais exclu de communiquer des bulletins de paie par email. Il convient dor\u00e9navant d\u2019utiliser une plateforme<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quelles sont les nouvelles responsabilit\u00e9s qu\u2019implique le RGPD pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Au-del\u00e0 des responsabilit\u00e9s inh\u00e9rentes \u00e0 la qualit\u00e9 de responsable de traitement, le RGPD implique de nouvelles responsabilit\u00e9s pour les experts-comptables. Tout d\u2019abord, ils voient leur responsabilit\u00e9 renforc\u00e9e en mati\u00e8re de devoir d\u2019information et de conseil, du fait de leur devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit offrir \u00e0 ses clients \u00ab des garanties suffisantes quant \u00e0 la mise en \u0153uvre de mesures techniques et organisationnelles appropri\u00e9es de mani\u00e8re \u00e0 ce que le traitement r\u00e9ponde aux exigences du pr\u00e9sent r\u00e8glement et garantisse la protection des droits de la personne concern\u00e9e \u00bb (Art.28 RGPD).<\/p>
        <\/p>
        Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        
        Limiter temporairement ou d\u00e9finitivement un traitement ;<\/li>
        Suspendre les flux de donn\u00e9es ;<\/li>
        Ordonner de satisfaire aux demandes d’exercice des droits des personnes, y compris sous astreinte ;<\/li>
        Prononcer une amende administrative qui peut \u00eatre rendue publique et dont le montant peut s\u2019\u00e9lever :<\/li>
        Jusqu\u2019\u00e0 2 % du chiffre d\u2019affaires mondial de l\u2019entreprise pour des manquements tels que l\u2019absence de registre de traitements, le d\u00e9faut d\u2019annonce suite \u00e0 une faille d\u00e9cel\u00e9e, le d\u00e9faut d\u2019\u00e9tude d\u2019impact sur la vie priv\u00e9e (en cas de donn\u00e9es sensibles), etc.<\/li>
        Jusqu\u2019\u00e0 4 % du chiffre d\u2019affaires mondial notamment en cas de refus d\u2019obtemp\u00e9rer aux injonctions de la CNIL, de traitements de donn\u00e9es ill\u00e9gaux, de d\u00e9faut de consentement, de non-respect des droits des personnes, etc.<\/li><\/ul>
        <\/p>
        \u00c9galement, toute personne concern\u00e9e par une violation de ses donn\u00e9es personnelles par le responsable de traitement et\/ou son sous-traitant, et ayant subi un dommage mat\u00e9riel ou moral du fait de cette violation, peut obtenir r\u00e9paration de son pr\u00e9judice notamment sous la forme de dommages et int\u00e9r\u00eats. En cas de contr\u00f4le de la CNIL, vous devez \u00eatre en mesure de garantir la protection des donn\u00e9es personnelles et de d\u00e9montrer les mesures prises \u00e0 cet effet.<\/p>
        <\/p>"}},{"@type":"Question","name":"Pourquoi se mettre en conformit\u00e9 au RGPD\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>\n
        Il est n\u00e9cessaire de se mettre en conformit\u00e9 au RGPD et ce pour plusieurs raisons.<\/p>\n
        <\/p>\n
        Tout d\u2019abord, il s\u2019agit d\u2019une obligation impos\u00e9e \u00e0 tout organisme, public ou priv\u00e9, traitant des donn\u00e9es personnelles d\u00e8s lors que celui-ci est \u00e9tabli sur le territoire de l\u2019Union europ\u00e9enne ou que son activit\u00e9 cible directement des r\u00e9sidents europ\u00e9ens.<\/p>\n
        <\/p>\n
        Ensuite, les organisations non conformes au RGPD s\u2019exposent \u00e0 de forts risques de sanctions dont notamment des amendes administratives pouvant s\u2019\u00e9lever \u00e0 hauteur de 2 ou 4% du chiffre d’affaires annuel mondial de l\u2019entreprise.<\/p>\n
        <\/p>\n
        Enfin, au-del\u00e0 d\u2019\u00eatre une obligation l\u00e9gale et r\u00e8glementaire et de constituer un risque accru de sanction, le RGPD est une v\u00e9ritable opportunit\u00e9 puisqu\u2019il permet de :<\/p>\n
        <\/p>\n
        <\/p>\n
        Valoriser la data en exploitant les donn\u00e9es de mani\u00e8re l\u00e9gale et qualitative<\/li>\n
        <\/p>\n
        Accro\u00eetre la confiance des clients, partenaires et prospects gr\u00e2ce \u00e0 la transparence<\/li>\n
        <\/p>\n
        Conforter et renforcer l\u2019image de marque du cabinet<\/li>\n
        <\/p>\n
        Acqu\u00e9rir de nouveaux clients et de nouveaux march\u00e9s<\/li>\n
        <\/p>\n
        Remporter des appels d\u2019offre (les acheteurs publics ont l\u2019obligation de v\u00e9rifier la conformit\u00e9 RGPD des soumissionnaires \u00e0 appel d\u2019offres)<\/li>\n
        <\/p>\n
        Am\u00e9liorer l\u2019organisation interne et renforcer la confiance des collaborateurs de l\u2019organisme<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        \u00catre conforme RGPD est donc primordial.<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quel est le r\u00f4le de l\u2019expert-comptable dans l\u2019accompagnement de ses clients en mati\u00e8re de conformit\u00e9 RGPD\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        En application de l’article 155 du D\u00e9cret du 30 mars 2012 relatif \u00e0 l’exercice de l’activit\u00e9 d’expertise comptable, les experts-comptables sont tenus \u00e0 un devoir d\u2019information et de conseil \u00e0 l\u2019\u00e9gard de leurs clients ou adh\u00e9rents.<\/p>
        <\/p>
        D\u00e8s lors, dans sa qualit\u00e9 et son devoir de conseil, le r\u00f4le de l\u2019expert comptable est de veiller \u00e0 ce que ses clients respectent le RGPD, notamment \u00e0 l\u2019occasion de ses missions d\u2019audits ou de l\u2019\u00e9laboration de propositions offres d\u2019accompagnement. Pour \u00e9viter tout cas de contentieux en d\u00e9faut d’information et de conseil, les experts-comptables doivent donc \u00e0 minima informer leurs clients de leur obligation \u00e0 se mettre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Un partenariat entre la CNIL et le CSOEC a \u00e9t\u00e9 conclu en ce sens en 2020 afin notamment de diffuser une culture de la protection des donn\u00e9es personnelles aupr\u00e8s des experts-comptables, \u00e0 la fois pour la mise en conformit\u00e9 de leur propre structure mais \u00e9galement dans leur r\u00f4le de proximit\u00e9 aupr\u00e8s des entreprises.<\/p>
        <\/p>
        En effet, les experts-comptables ont une connaissance approfondie des risques li\u00e9s \u00e0 l\u2019activit\u00e9 de leurs clients et ils constituent un interlocuteur privil\u00e9gi\u00e9 pour r\u00e9pondre aux besoins de mise en conformit\u00e9 de ces derniers. Le CSOEC estime ainsi que \u00ab Les experts-comptables sont comp\u00e9tents en mati\u00e8re de protection des donn\u00e9es personnelles d\u00e8s lors qu\u2019ils ont d\u00e9j\u00e0 mis en place les obligations impos\u00e9es par le RGPD au sein de leurs cabinets. Ils peuvent donc proposer une mission dans laquelle ils accompagnent leurs entreprises clientes \u00e0 mettre en place le RGPD \u00bb.<\/p>
        <\/p>
        C’est dans ce contexte que l’expert-comptable est amen\u00e9 \u00e0 la fois \u00e0 alerter ses clients sur leur conformit\u00e9 RGPD et \u00e0 leur proposer des prestations de service relatives \u00e0 la mise en conformit\u00e9 RGPD.<\/p>
        <\/p>"}},{"@type":"Question","name":"Qu\u2019implique la mise en conformit\u00e9 au RGPD pour le cabinet d\u2019expertise comptable ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>\n
        Le processus de mise en conformit\u00e9 au RGPD implique de respecter la mise en \u0153uvre de plusieurs mesures, notamment :<\/p>\n
        <\/p>\n
        <\/p>\n
        Constituer un registre des traitements des donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Il permet au cabinet d\u2019avoir une vision d\u2019ensemble sur les traitements de donn\u00e9es qu\u2019il r\u00e9alise. Le registre requiert de proc\u00e9der \u00e0 une identification des activit\u00e9s principales du cabinet ayant recours au traitement de donn\u00e9es personnelles, c\u2019est ce qu\u2019on appelle les traitements. L’expert-comptable responsable de traitement ou le sous-traitant doit ainsi proc\u00e9der \u00e0 la cr\u00e9ation d\u2019une fiche pour chaque traitement recens\u00e9, en indiquant notamment sa finalit\u00e9, c\u2019est-\u00e0-dire l\u2019objectif en vue duquel les donn\u00e9es sont trait\u00e9es par le cabinet.<\/p>\n
        <\/p>\n
        Enfin, le registre doit \u00eatre mis \u00e0 jour r\u00e9guli\u00e8rement car les cabinets peuvent \u00eatre amen\u00e9s \u00e0 changer de logiciels, \u00e0 faire \u00e9voluer leur organisation interne ou \u00e0 changer de sous-traitants. La protection des donn\u00e9es doit donc \u00eatre continue.<\/p>\n
        <\/p>\n
        A noter : Il est vivement conseill\u00e9 de confier la tenue du registre de traitements au d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es (DPD) \/ data protection officer (DPO) qui se chargera de sa mise \u00e0 jour r\u00e9guli\u00e8rement.<\/em><\/p>\n
        <\/p>\n
        <\/p>\n
        Trier les donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le cabinet doit se limiter \u00e0 la collecte des donn\u00e9es strictement n\u00e9cessaires au traitement. C\u2019est le principe de minimisation des donn\u00e9es. Ainsi, les donn\u00e9es ne doivent \u00eatre trait\u00e9es que si :<\/p>\n
        <\/p>\n
        <\/p>\n
        elles sont n\u00e9cessaires \u00e0 l\u2019activit\u00e9 de l\u2019organisme ;<\/li>\n
        <\/p>\n
        il ne s\u2019agit pas de donn\u00e9es dites \u00ab sensibles \u00bb, dans le cas contraire il convient de s\u2019assurer que le cabinet a bien le droit de les traiter ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont accessibles uniquement aux personnes habilit\u00e9es ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont conserv\u00e9es uniquement le temps n\u00e9cessaire et\/ou r\u00e8glementaire ;<\/li>\n
        <\/p>\n
        Respecter les droits des personnes. <\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le RGPD a pour objectif de renforcer la protection des donn\u00e9es des personnes. C\u2019est pourquoi il est venu conf\u00e9rer \u00e0 ces derni\u00e8res un certain nombre de droits, notamment le droit d\u2019acc\u00e8s, de rectification, d\u2019opposition, d\u2019effacement, le droit \u00e0 la limitation du traitement, \u00e0 la portabilit\u00e9. C\u2019est au responsable de traitement qu\u2019il appartient de mettre en place les mesures visant \u00e0 faire respecter ces droits.<\/p>\n
        <\/p>\n
        <\/p>\n
        S\u00e9curiser les donn\u00e9es personnelles<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le responsable de traitement doit prendre les mesures n\u00e9cessaires afin de garantir la s\u00e9curisation des donn\u00e9es personnelles en r\u00e9duisant les risques de violations de donn\u00e9es en respectant notamment les principes suivants :<\/p>\n
        <\/p>\n
        <\/p>\n
        Le principe de confidentialit\u00e9 : les donn\u00e9es doivent \u00eatre accessibles aux seules personnes autoris\u00e9es<\/li>\n
        <\/p>\n
        Le principe d\u2019int\u00e9grit\u00e9 : les donn\u00e9es ne doivent pas \u00eatre alt\u00e9r\u00e9es ou modifi\u00e9es<\/li>\n
        <\/p>\n
        Le principe de disponibilit\u00e9 : les donn\u00e9es doivent \u00eatre en permanence accessibles aux personnes autoris\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Si un organisme subi une violation de donn\u00e9es, il doit proc\u00e9der \u00e0 un signalement \u00e0 la CNIL dans les 72 heures suivant la violation, si celle-ci est susceptible de repr\u00e9senter un risque pour les droits et libert\u00e9s des personnes concern\u00e9es.<\/p>\n
        <\/p>\n
        <\/p>\n
        Respecter le principe d\u2019accountability<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Ce principe d\u00e9signe l\u2019obligation pour les cabinets de mettre en \u0153uvre des m\u00e9canismes et des proc\u00e9dures internes permettant de d\u00e9montrer le respect des r\u00e8gles relatives \u00e0 la protection des donn\u00e9es.<\/p>\n
        <\/p>\n
        En cas de contr\u00f4le de la CNIL, la cabinet doit donc \u00eatre en mesure de d\u00e9montrer sa conformit\u00e9 au RGPD et les mesures prises \u00e0 cet effet.<\/p>\n
        <\/p>\n
        <\/p>\n
        R\u00e9vision des pratiques, contrats et lettre de mission rgpd expert-comptable<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Dans le cadre du processus de mise en conformit\u00e9, il est \u00e9galement n\u00e9cessaire de modifier tous les contrats de prestation et les lettres de mission du cabinet. L\u2019Ordre des experts comptables recommande en ce sens de revoir les contrats clients en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>\n
        <\/p>\n
        \u00c9galement, il est d\u00e9sormais exclu de communiquer des bulletins de paie par email. Il convient dor\u00e9navant d\u2019utiliser une plateforme<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quelles sont les nouvelles responsabilit\u00e9s qu\u2019implique le RGPD pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Au-del\u00e0 des responsabilit\u00e9s inh\u00e9rentes \u00e0 la qualit\u00e9 de responsable de traitement, le RGPD implique de nouvelles responsabilit\u00e9s pour les experts-comptables. Tout d\u2019abord, ils voient leur responsabilit\u00e9 renforc\u00e9e en mati\u00e8re de devoir d\u2019information et de conseil, du fait de leur devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit offrir \u00e0 ses clients \u00ab des garanties suffisantes quant \u00e0 la mise en \u0153uvre de mesures techniques et organisationnelles appropri\u00e9es de mani\u00e8re \u00e0 ce que le traitement r\u00e9ponde aux exigences du pr\u00e9sent r\u00e8glement et garantisse la protection des droits de la personne concern\u00e9e \u00bb (Art.28 RGPD).<\/p>
        <\/p>
        Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        
        Enjoindre de mettre le traitement en conformit\u00e9, y compris sous astreinte ;<\/li>
        Limiter temporairement ou d\u00e9finitivement un traitement ;<\/li>
        Suspendre les flux de donn\u00e9es ;<\/li>
        Ordonner de satisfaire aux demandes d’exercice des droits des personnes, y compris sous astreinte ;<\/li>
        Prononcer une amende administrative qui peut \u00eatre rendue publique et dont le montant peut s\u2019\u00e9lever :<\/li>
        Jusqu\u2019\u00e0 2 % du chiffre d\u2019affaires mondial de l\u2019entreprise pour des manquements tels que l\u2019absence de registre de traitements, le d\u00e9faut d\u2019annonce suite \u00e0 une faille d\u00e9cel\u00e9e, le d\u00e9faut d\u2019\u00e9tude d\u2019impact sur la vie priv\u00e9e (en cas de donn\u00e9es sensibles), etc.<\/li>
        Jusqu\u2019\u00e0 4 % du chiffre d\u2019affaires mondial notamment en cas de refus d\u2019obtemp\u00e9rer aux injonctions de la CNIL, de traitements de donn\u00e9es ill\u00e9gaux, de d\u00e9faut de consentement, de non-respect des droits des personnes, etc.<\/li><\/ul>
        <\/p>
        \u00c9galement, toute personne concern\u00e9e par une violation de ses donn\u00e9es personnelles par le responsable de traitement et\/ou son sous-traitant, et ayant subi un dommage mat\u00e9riel ou moral du fait de cette violation, peut obtenir r\u00e9paration de son pr\u00e9judice notamment sous la forme de dommages et int\u00e9r\u00eats. En cas de contr\u00f4le de la CNIL, vous devez \u00eatre en mesure de garantir la protection des donn\u00e9es personnelles et de d\u00e9montrer les mesures prises \u00e0 cet effet.<\/p>
        <\/p>"}},{"@type":"Question","name":"Pourquoi se mettre en conformit\u00e9 au RGPD\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>\n
        Il est n\u00e9cessaire de se mettre en conformit\u00e9 au RGPD et ce pour plusieurs raisons.<\/p>\n
        <\/p>\n
        Tout d\u2019abord, il s\u2019agit d\u2019une obligation impos\u00e9e \u00e0 tout organisme, public ou priv\u00e9, traitant des donn\u00e9es personnelles d\u00e8s lors que celui-ci est \u00e9tabli sur le territoire de l\u2019Union europ\u00e9enne ou que son activit\u00e9 cible directement des r\u00e9sidents europ\u00e9ens.<\/p>\n
        <\/p>\n
        Ensuite, les organisations non conformes au RGPD s\u2019exposent \u00e0 de forts risques de sanctions dont notamment des amendes administratives pouvant s\u2019\u00e9lever \u00e0 hauteur de 2 ou 4% du chiffre d’affaires annuel mondial de l\u2019entreprise.<\/p>\n
        <\/p>\n
        Enfin, au-del\u00e0 d\u2019\u00eatre une obligation l\u00e9gale et r\u00e8glementaire et de constituer un risque accru de sanction, le RGPD est une v\u00e9ritable opportunit\u00e9 puisqu\u2019il permet de :<\/p>\n
        <\/p>\n
        <\/p>\n
        Valoriser la data en exploitant les donn\u00e9es de mani\u00e8re l\u00e9gale et qualitative<\/li>\n
        <\/p>\n
        Accro\u00eetre la confiance des clients, partenaires et prospects gr\u00e2ce \u00e0 la transparence<\/li>\n
        <\/p>\n
        Conforter et renforcer l\u2019image de marque du cabinet<\/li>\n
        <\/p>\n
        Acqu\u00e9rir de nouveaux clients et de nouveaux march\u00e9s<\/li>\n
        <\/p>\n
        Remporter des appels d\u2019offre (les acheteurs publics ont l\u2019obligation de v\u00e9rifier la conformit\u00e9 RGPD des soumissionnaires \u00e0 appel d\u2019offres)<\/li>\n
        <\/p>\n
        Am\u00e9liorer l\u2019organisation interne et renforcer la confiance des collaborateurs de l\u2019organisme<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        \u00catre conforme RGPD est donc primordial.<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quel est le r\u00f4le de l\u2019expert-comptable dans l\u2019accompagnement de ses clients en mati\u00e8re de conformit\u00e9 RGPD\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        En application de l’article 155 du D\u00e9cret du 30 mars 2012 relatif \u00e0 l’exercice de l’activit\u00e9 d’expertise comptable, les experts-comptables sont tenus \u00e0 un devoir d\u2019information et de conseil \u00e0 l\u2019\u00e9gard de leurs clients ou adh\u00e9rents.<\/p>
        <\/p>
        D\u00e8s lors, dans sa qualit\u00e9 et son devoir de conseil, le r\u00f4le de l\u2019expert comptable est de veiller \u00e0 ce que ses clients respectent le RGPD, notamment \u00e0 l\u2019occasion de ses missions d\u2019audits ou de l\u2019\u00e9laboration de propositions offres d\u2019accompagnement. Pour \u00e9viter tout cas de contentieux en d\u00e9faut d’information et de conseil, les experts-comptables doivent donc \u00e0 minima informer leurs clients de leur obligation \u00e0 se mettre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Un partenariat entre la CNIL et le CSOEC a \u00e9t\u00e9 conclu en ce sens en 2020 afin notamment de diffuser une culture de la protection des donn\u00e9es personnelles aupr\u00e8s des experts-comptables, \u00e0 la fois pour la mise en conformit\u00e9 de leur propre structure mais \u00e9galement dans leur r\u00f4le de proximit\u00e9 aupr\u00e8s des entreprises.<\/p>
        <\/p>
        En effet, les experts-comptables ont une connaissance approfondie des risques li\u00e9s \u00e0 l\u2019activit\u00e9 de leurs clients et ils constituent un interlocuteur privil\u00e9gi\u00e9 pour r\u00e9pondre aux besoins de mise en conformit\u00e9 de ces derniers. Le CSOEC estime ainsi que \u00ab Les experts-comptables sont comp\u00e9tents en mati\u00e8re de protection des donn\u00e9es personnelles d\u00e8s lors qu\u2019ils ont d\u00e9j\u00e0 mis en place les obligations impos\u00e9es par le RGPD au sein de leurs cabinets. Ils peuvent donc proposer une mission dans laquelle ils accompagnent leurs entreprises clientes \u00e0 mettre en place le RGPD \u00bb.<\/p>
        <\/p>
        C’est dans ce contexte que l’expert-comptable est amen\u00e9 \u00e0 la fois \u00e0 alerter ses clients sur leur conformit\u00e9 RGPD et \u00e0 leur proposer des prestations de service relatives \u00e0 la mise en conformit\u00e9 RGPD.<\/p>
        <\/p>"}},{"@type":"Question","name":"Qu\u2019implique la mise en conformit\u00e9 au RGPD pour le cabinet d\u2019expertise comptable ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>\n
        Le processus de mise en conformit\u00e9 au RGPD implique de respecter la mise en \u0153uvre de plusieurs mesures, notamment :<\/p>\n
        <\/p>\n
        <\/p>\n
        Constituer un registre des traitements des donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Il permet au cabinet d\u2019avoir une vision d\u2019ensemble sur les traitements de donn\u00e9es qu\u2019il r\u00e9alise. Le registre requiert de proc\u00e9der \u00e0 une identification des activit\u00e9s principales du cabinet ayant recours au traitement de donn\u00e9es personnelles, c\u2019est ce qu\u2019on appelle les traitements. L’expert-comptable responsable de traitement ou le sous-traitant doit ainsi proc\u00e9der \u00e0 la cr\u00e9ation d\u2019une fiche pour chaque traitement recens\u00e9, en indiquant notamment sa finalit\u00e9, c\u2019est-\u00e0-dire l\u2019objectif en vue duquel les donn\u00e9es sont trait\u00e9es par le cabinet.<\/p>\n
        <\/p>\n
        Enfin, le registre doit \u00eatre mis \u00e0 jour r\u00e9guli\u00e8rement car les cabinets peuvent \u00eatre amen\u00e9s \u00e0 changer de logiciels, \u00e0 faire \u00e9voluer leur organisation interne ou \u00e0 changer de sous-traitants. La protection des donn\u00e9es doit donc \u00eatre continue.<\/p>\n
        <\/p>\n
        A noter : Il est vivement conseill\u00e9 de confier la tenue du registre de traitements au d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es (DPD) \/ data protection officer (DPO) qui se chargera de sa mise \u00e0 jour r\u00e9guli\u00e8rement.<\/em><\/p>\n
        <\/p>\n
        <\/p>\n
        Trier les donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le cabinet doit se limiter \u00e0 la collecte des donn\u00e9es strictement n\u00e9cessaires au traitement. C\u2019est le principe de minimisation des donn\u00e9es. Ainsi, les donn\u00e9es ne doivent \u00eatre trait\u00e9es que si :<\/p>\n
        <\/p>\n
        <\/p>\n
        elles sont n\u00e9cessaires \u00e0 l\u2019activit\u00e9 de l\u2019organisme ;<\/li>\n
        <\/p>\n
        il ne s\u2019agit pas de donn\u00e9es dites \u00ab sensibles \u00bb, dans le cas contraire il convient de s\u2019assurer que le cabinet a bien le droit de les traiter ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont accessibles uniquement aux personnes habilit\u00e9es ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont conserv\u00e9es uniquement le temps n\u00e9cessaire et\/ou r\u00e8glementaire ;<\/li>\n
        <\/p>\n
        Respecter les droits des personnes. <\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le RGPD a pour objectif de renforcer la protection des donn\u00e9es des personnes. C\u2019est pourquoi il est venu conf\u00e9rer \u00e0 ces derni\u00e8res un certain nombre de droits, notamment le droit d\u2019acc\u00e8s, de rectification, d\u2019opposition, d\u2019effacement, le droit \u00e0 la limitation du traitement, \u00e0 la portabilit\u00e9. C\u2019est au responsable de traitement qu\u2019il appartient de mettre en place les mesures visant \u00e0 faire respecter ces droits.<\/p>\n
        <\/p>\n
        <\/p>\n
        S\u00e9curiser les donn\u00e9es personnelles<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le responsable de traitement doit prendre les mesures n\u00e9cessaires afin de garantir la s\u00e9curisation des donn\u00e9es personnelles en r\u00e9duisant les risques de violations de donn\u00e9es en respectant notamment les principes suivants :<\/p>\n
        <\/p>\n
        <\/p>\n
        Le principe de confidentialit\u00e9 : les donn\u00e9es doivent \u00eatre accessibles aux seules personnes autoris\u00e9es<\/li>\n
        <\/p>\n
        Le principe d\u2019int\u00e9grit\u00e9 : les donn\u00e9es ne doivent pas \u00eatre alt\u00e9r\u00e9es ou modifi\u00e9es<\/li>\n
        <\/p>\n
        Le principe de disponibilit\u00e9 : les donn\u00e9es doivent \u00eatre en permanence accessibles aux personnes autoris\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Si un organisme subi une violation de donn\u00e9es, il doit proc\u00e9der \u00e0 un signalement \u00e0 la CNIL dans les 72 heures suivant la violation, si celle-ci est susceptible de repr\u00e9senter un risque pour les droits et libert\u00e9s des personnes concern\u00e9es.<\/p>\n
        <\/p>\n
        <\/p>\n
        Respecter le principe d\u2019accountability<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Ce principe d\u00e9signe l\u2019obligation pour les cabinets de mettre en \u0153uvre des m\u00e9canismes et des proc\u00e9dures internes permettant de d\u00e9montrer le respect des r\u00e8gles relatives \u00e0 la protection des donn\u00e9es.<\/p>\n
        <\/p>\n
        En cas de contr\u00f4le de la CNIL, la cabinet doit donc \u00eatre en mesure de d\u00e9montrer sa conformit\u00e9 au RGPD et les mesures prises \u00e0 cet effet.<\/p>\n
        <\/p>\n
        <\/p>\n
        R\u00e9vision des pratiques, contrats et lettre de mission rgpd expert-comptable<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Dans le cadre du processus de mise en conformit\u00e9, il est \u00e9galement n\u00e9cessaire de modifier tous les contrats de prestation et les lettres de mission du cabinet. L\u2019Ordre des experts comptables recommande en ce sens de revoir les contrats clients en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>\n
        <\/p>\n
        \u00c9galement, il est d\u00e9sormais exclu de communiquer des bulletins de paie par email. Il convient dor\u00e9navant d\u2019utiliser une plateforme<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quelles sont les nouvelles responsabilit\u00e9s qu\u2019implique le RGPD pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Au-del\u00e0 des responsabilit\u00e9s inh\u00e9rentes \u00e0 la qualit\u00e9 de responsable de traitement, le RGPD implique de nouvelles responsabilit\u00e9s pour les experts-comptables. Tout d\u2019abord, ils voient leur responsabilit\u00e9 renforc\u00e9e en mati\u00e8re de devoir d\u2019information et de conseil, du fait de leur devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit offrir \u00e0 ses clients \u00ab des garanties suffisantes quant \u00e0 la mise en \u0153uvre de mesures techniques et organisationnelles appropri\u00e9es de mani\u00e8re \u00e0 ce que le traitement r\u00e9ponde aux exigences du pr\u00e9sent r\u00e8glement et garantisse la protection des droits de la personne concern\u00e9e \u00bb (Art.28 RGPD).<\/p>
        <\/p>
        Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        
        Prononcer un rappel \u00e0 l\u2019ordre ;<\/li>
        Enjoindre de mettre le traitement en conformit\u00e9, y compris sous astreinte ;<\/li>
        Limiter temporairement ou d\u00e9finitivement un traitement ;<\/li>
        Suspendre les flux de donn\u00e9es ;<\/li>
        Ordonner de satisfaire aux demandes d’exercice des droits des personnes, y compris sous astreinte ;<\/li>
        Prononcer une amende administrative qui peut \u00eatre rendue publique et dont le montant peut s\u2019\u00e9lever :<\/li>
        Jusqu\u2019\u00e0 2 % du chiffre d\u2019affaires mondial de l\u2019entreprise pour des manquements tels que l\u2019absence de registre de traitements, le d\u00e9faut d\u2019annonce suite \u00e0 une faille d\u00e9cel\u00e9e, le d\u00e9faut d\u2019\u00e9tude d\u2019impact sur la vie priv\u00e9e (en cas de donn\u00e9es sensibles), etc.<\/li>
        Jusqu\u2019\u00e0 4 % du chiffre d\u2019affaires mondial notamment en cas de refus d\u2019obtemp\u00e9rer aux injonctions de la CNIL, de traitements de donn\u00e9es ill\u00e9gaux, de d\u00e9faut de consentement, de non-respect des droits des personnes, etc.<\/li><\/ul>
        <\/p>
        \u00c9galement, toute personne concern\u00e9e par une violation de ses donn\u00e9es personnelles par le responsable de traitement et\/ou son sous-traitant, et ayant subi un dommage mat\u00e9riel ou moral du fait de cette violation, peut obtenir r\u00e9paration de son pr\u00e9judice notamment sous la forme de dommages et int\u00e9r\u00eats. En cas de contr\u00f4le de la CNIL, vous devez \u00eatre en mesure de garantir la protection des donn\u00e9es personnelles et de d\u00e9montrer les mesures prises \u00e0 cet effet.<\/p>
        <\/p>"}},{"@type":"Question","name":"Pourquoi se mettre en conformit\u00e9 au RGPD\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>\n
        Il est n\u00e9cessaire de se mettre en conformit\u00e9 au RGPD et ce pour plusieurs raisons.<\/p>\n
        <\/p>\n
        Tout d\u2019abord, il s\u2019agit d\u2019une obligation impos\u00e9e \u00e0 tout organisme, public ou priv\u00e9, traitant des donn\u00e9es personnelles d\u00e8s lors que celui-ci est \u00e9tabli sur le territoire de l\u2019Union europ\u00e9enne ou que son activit\u00e9 cible directement des r\u00e9sidents europ\u00e9ens.<\/p>\n
        <\/p>\n
        Ensuite, les organisations non conformes au RGPD s\u2019exposent \u00e0 de forts risques de sanctions dont notamment des amendes administratives pouvant s\u2019\u00e9lever \u00e0 hauteur de 2 ou 4% du chiffre d’affaires annuel mondial de l\u2019entreprise.<\/p>\n
        <\/p>\n
        Enfin, au-del\u00e0 d\u2019\u00eatre une obligation l\u00e9gale et r\u00e8glementaire et de constituer un risque accru de sanction, le RGPD est une v\u00e9ritable opportunit\u00e9 puisqu\u2019il permet de :<\/p>\n
        <\/p>\n
        <\/p>\n
        Valoriser la data en exploitant les donn\u00e9es de mani\u00e8re l\u00e9gale et qualitative<\/li>\n
        <\/p>\n
        Accro\u00eetre la confiance des clients, partenaires et prospects gr\u00e2ce \u00e0 la transparence<\/li>\n
        <\/p>\n
        Conforter et renforcer l\u2019image de marque du cabinet<\/li>\n
        <\/p>\n
        Acqu\u00e9rir de nouveaux clients et de nouveaux march\u00e9s<\/li>\n
        <\/p>\n
        Remporter des appels d\u2019offre (les acheteurs publics ont l\u2019obligation de v\u00e9rifier la conformit\u00e9 RGPD des soumissionnaires \u00e0 appel d\u2019offres)<\/li>\n
        <\/p>\n
        Am\u00e9liorer l\u2019organisation interne et renforcer la confiance des collaborateurs de l\u2019organisme<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        \u00catre conforme RGPD est donc primordial.<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quel est le r\u00f4le de l\u2019expert-comptable dans l\u2019accompagnement de ses clients en mati\u00e8re de conformit\u00e9 RGPD\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        En application de l’article 155 du D\u00e9cret du 30 mars 2012 relatif \u00e0 l’exercice de l’activit\u00e9 d’expertise comptable, les experts-comptables sont tenus \u00e0 un devoir d\u2019information et de conseil \u00e0 l\u2019\u00e9gard de leurs clients ou adh\u00e9rents.<\/p>
        <\/p>
        D\u00e8s lors, dans sa qualit\u00e9 et son devoir de conseil, le r\u00f4le de l\u2019expert comptable est de veiller \u00e0 ce que ses clients respectent le RGPD, notamment \u00e0 l\u2019occasion de ses missions d\u2019audits ou de l\u2019\u00e9laboration de propositions offres d\u2019accompagnement. Pour \u00e9viter tout cas de contentieux en d\u00e9faut d’information et de conseil, les experts-comptables doivent donc \u00e0 minima informer leurs clients de leur obligation \u00e0 se mettre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Un partenariat entre la CNIL et le CSOEC a \u00e9t\u00e9 conclu en ce sens en 2020 afin notamment de diffuser une culture de la protection des donn\u00e9es personnelles aupr\u00e8s des experts-comptables, \u00e0 la fois pour la mise en conformit\u00e9 de leur propre structure mais \u00e9galement dans leur r\u00f4le de proximit\u00e9 aupr\u00e8s des entreprises.<\/p>
        <\/p>
        En effet, les experts-comptables ont une connaissance approfondie des risques li\u00e9s \u00e0 l\u2019activit\u00e9 de leurs clients et ils constituent un interlocuteur privil\u00e9gi\u00e9 pour r\u00e9pondre aux besoins de mise en conformit\u00e9 de ces derniers. Le CSOEC estime ainsi que \u00ab Les experts-comptables sont comp\u00e9tents en mati\u00e8re de protection des donn\u00e9es personnelles d\u00e8s lors qu\u2019ils ont d\u00e9j\u00e0 mis en place les obligations impos\u00e9es par le RGPD au sein de leurs cabinets. Ils peuvent donc proposer une mission dans laquelle ils accompagnent leurs entreprises clientes \u00e0 mettre en place le RGPD \u00bb.<\/p>
        <\/p>
        C’est dans ce contexte que l’expert-comptable est amen\u00e9 \u00e0 la fois \u00e0 alerter ses clients sur leur conformit\u00e9 RGPD et \u00e0 leur proposer des prestations de service relatives \u00e0 la mise en conformit\u00e9 RGPD.<\/p>
        <\/p>"}},{"@type":"Question","name":"Qu\u2019implique la mise en conformit\u00e9 au RGPD pour le cabinet d\u2019expertise comptable ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>\n
        Le processus de mise en conformit\u00e9 au RGPD implique de respecter la mise en \u0153uvre de plusieurs mesures, notamment :<\/p>\n
        <\/p>\n
        <\/p>\n
        Constituer un registre des traitements des donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Il permet au cabinet d\u2019avoir une vision d\u2019ensemble sur les traitements de donn\u00e9es qu\u2019il r\u00e9alise. Le registre requiert de proc\u00e9der \u00e0 une identification des activit\u00e9s principales du cabinet ayant recours au traitement de donn\u00e9es personnelles, c\u2019est ce qu\u2019on appelle les traitements. L’expert-comptable responsable de traitement ou le sous-traitant doit ainsi proc\u00e9der \u00e0 la cr\u00e9ation d\u2019une fiche pour chaque traitement recens\u00e9, en indiquant notamment sa finalit\u00e9, c\u2019est-\u00e0-dire l\u2019objectif en vue duquel les donn\u00e9es sont trait\u00e9es par le cabinet.<\/p>\n
        <\/p>\n
        Enfin, le registre doit \u00eatre mis \u00e0 jour r\u00e9guli\u00e8rement car les cabinets peuvent \u00eatre amen\u00e9s \u00e0 changer de logiciels, \u00e0 faire \u00e9voluer leur organisation interne ou \u00e0 changer de sous-traitants. La protection des donn\u00e9es doit donc \u00eatre continue.<\/p>\n
        <\/p>\n
        A noter : Il est vivement conseill\u00e9 de confier la tenue du registre de traitements au d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es (DPD) \/ data protection officer (DPO) qui se chargera de sa mise \u00e0 jour r\u00e9guli\u00e8rement.<\/em><\/p>\n
        <\/p>\n
        <\/p>\n
        Trier les donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le cabinet doit se limiter \u00e0 la collecte des donn\u00e9es strictement n\u00e9cessaires au traitement. C\u2019est le principe de minimisation des donn\u00e9es. Ainsi, les donn\u00e9es ne doivent \u00eatre trait\u00e9es que si :<\/p>\n
        <\/p>\n
        <\/p>\n
        elles sont n\u00e9cessaires \u00e0 l\u2019activit\u00e9 de l\u2019organisme ;<\/li>\n
        <\/p>\n
        il ne s\u2019agit pas de donn\u00e9es dites \u00ab sensibles \u00bb, dans le cas contraire il convient de s\u2019assurer que le cabinet a bien le droit de les traiter ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont accessibles uniquement aux personnes habilit\u00e9es ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont conserv\u00e9es uniquement le temps n\u00e9cessaire et\/ou r\u00e8glementaire ;<\/li>\n
        <\/p>\n
        Respecter les droits des personnes. <\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le RGPD a pour objectif de renforcer la protection des donn\u00e9es des personnes. C\u2019est pourquoi il est venu conf\u00e9rer \u00e0 ces derni\u00e8res un certain nombre de droits, notamment le droit d\u2019acc\u00e8s, de rectification, d\u2019opposition, d\u2019effacement, le droit \u00e0 la limitation du traitement, \u00e0 la portabilit\u00e9. C\u2019est au responsable de traitement qu\u2019il appartient de mettre en place les mesures visant \u00e0 faire respecter ces droits.<\/p>\n
        <\/p>\n
        <\/p>\n
        S\u00e9curiser les donn\u00e9es personnelles<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le responsable de traitement doit prendre les mesures n\u00e9cessaires afin de garantir la s\u00e9curisation des donn\u00e9es personnelles en r\u00e9duisant les risques de violations de donn\u00e9es en respectant notamment les principes suivants :<\/p>\n
        <\/p>\n
        <\/p>\n
        Le principe de confidentialit\u00e9 : les donn\u00e9es doivent \u00eatre accessibles aux seules personnes autoris\u00e9es<\/li>\n
        <\/p>\n
        Le principe d\u2019int\u00e9grit\u00e9 : les donn\u00e9es ne doivent pas \u00eatre alt\u00e9r\u00e9es ou modifi\u00e9es<\/li>\n
        <\/p>\n
        Le principe de disponibilit\u00e9 : les donn\u00e9es doivent \u00eatre en permanence accessibles aux personnes autoris\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Si un organisme subi une violation de donn\u00e9es, il doit proc\u00e9der \u00e0 un signalement \u00e0 la CNIL dans les 72 heures suivant la violation, si celle-ci est susceptible de repr\u00e9senter un risque pour les droits et libert\u00e9s des personnes concern\u00e9es.<\/p>\n
        <\/p>\n
        <\/p>\n
        Respecter le principe d\u2019accountability<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Ce principe d\u00e9signe l\u2019obligation pour les cabinets de mettre en \u0153uvre des m\u00e9canismes et des proc\u00e9dures internes permettant de d\u00e9montrer le respect des r\u00e8gles relatives \u00e0 la protection des donn\u00e9es.<\/p>\n
        <\/p>\n
        En cas de contr\u00f4le de la CNIL, la cabinet doit donc \u00eatre en mesure de d\u00e9montrer sa conformit\u00e9 au RGPD et les mesures prises \u00e0 cet effet.<\/p>\n
        <\/p>\n
        <\/p>\n
        R\u00e9vision des pratiques, contrats et lettre de mission rgpd expert-comptable<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Dans le cadre du processus de mise en conformit\u00e9, il est \u00e9galement n\u00e9cessaire de modifier tous les contrats de prestation et les lettres de mission du cabinet. L\u2019Ordre des experts comptables recommande en ce sens de revoir les contrats clients en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>\n
        <\/p>\n
        \u00c9galement, il est d\u00e9sormais exclu de communiquer des bulletins de paie par email. Il convient dor\u00e9navant d\u2019utiliser une plateforme<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quelles sont les nouvelles responsabilit\u00e9s qu\u2019implique le RGPD pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Au-del\u00e0 des responsabilit\u00e9s inh\u00e9rentes \u00e0 la qualit\u00e9 de responsable de traitement, le RGPD implique de nouvelles responsabilit\u00e9s pour les experts-comptables. Tout d\u2019abord, ils voient leur responsabilit\u00e9 renforc\u00e9e en mati\u00e8re de devoir d\u2019information et de conseil, du fait de leur devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit offrir \u00e0 ses clients \u00ab des garanties suffisantes quant \u00e0 la mise en \u0153uvre de mesures techniques et organisationnelles appropri\u00e9es de mani\u00e8re \u00e0 ce que le traitement r\u00e9ponde aux exigences du pr\u00e9sent r\u00e8glement et garantisse la protection des droits de la personne concern\u00e9e \u00bb (Art.28 RGPD).<\/p>
        <\/p>
        Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        <\/p>
        Prononcer un rappel \u00e0 l\u2019ordre ;<\/li>
        Enjoindre de mettre le traitement en conformit\u00e9, y compris sous astreinte ;<\/li>
        Limiter temporairement ou d\u00e9finitivement un traitement ;<\/li>
        Suspendre les flux de donn\u00e9es ;<\/li>
        Ordonner de satisfaire aux demandes d’exercice des droits des personnes, y compris sous astreinte ;<\/li>
        Prononcer une amende administrative qui peut \u00eatre rendue publique et dont le montant peut s\u2019\u00e9lever :<\/li>
        Jusqu\u2019\u00e0 2 % du chiffre d\u2019affaires mondial de l\u2019entreprise pour des manquements tels que l\u2019absence de registre de traitements, le d\u00e9faut d\u2019annonce suite \u00e0 une faille d\u00e9cel\u00e9e, le d\u00e9faut d\u2019\u00e9tude d\u2019impact sur la vie priv\u00e9e (en cas de donn\u00e9es sensibles), etc.<\/li>
        Jusqu\u2019\u00e0 4 % du chiffre d\u2019affaires mondial notamment en cas de refus d\u2019obtemp\u00e9rer aux injonctions de la CNIL, de traitements de donn\u00e9es ill\u00e9gaux, de d\u00e9faut de consentement, de non-respect des droits des personnes, etc.<\/li><\/ul>
        <\/p>
        \u00c9galement, toute personne concern\u00e9e par une violation de ses donn\u00e9es personnelles par le responsable de traitement et\/ou son sous-traitant, et ayant subi un dommage mat\u00e9riel ou moral du fait de cette violation, peut obtenir r\u00e9paration de son pr\u00e9judice notamment sous la forme de dommages et int\u00e9r\u00eats. En cas de contr\u00f4le de la CNIL, vous devez \u00eatre en mesure de garantir la protection des donn\u00e9es personnelles et de d\u00e9montrer les mesures prises \u00e0 cet effet.<\/p>
        <\/p>"}},{"@type":"Question","name":"Pourquoi se mettre en conformit\u00e9 au RGPD\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>\n
        Il est n\u00e9cessaire de se mettre en conformit\u00e9 au RGPD et ce pour plusieurs raisons.<\/p>\n
        <\/p>\n
        Tout d\u2019abord, il s\u2019agit d\u2019une obligation impos\u00e9e \u00e0 tout organisme, public ou priv\u00e9, traitant des donn\u00e9es personnelles d\u00e8s lors que celui-ci est \u00e9tabli sur le territoire de l\u2019Union europ\u00e9enne ou que son activit\u00e9 cible directement des r\u00e9sidents europ\u00e9ens.<\/p>\n
        <\/p>\n
        Ensuite, les organisations non conformes au RGPD s\u2019exposent \u00e0 de forts risques de sanctions dont notamment des amendes administratives pouvant s\u2019\u00e9lever \u00e0 hauteur de 2 ou 4% du chiffre d’affaires annuel mondial de l\u2019entreprise.<\/p>\n
        <\/p>\n
        Enfin, au-del\u00e0 d\u2019\u00eatre une obligation l\u00e9gale et r\u00e8glementaire et de constituer un risque accru de sanction, le RGPD est une v\u00e9ritable opportunit\u00e9 puisqu\u2019il permet de :<\/p>\n
        <\/p>\n
        <\/p>\n
        Valoriser la data en exploitant les donn\u00e9es de mani\u00e8re l\u00e9gale et qualitative<\/li>\n
        <\/p>\n
        Accro\u00eetre la confiance des clients, partenaires et prospects gr\u00e2ce \u00e0 la transparence<\/li>\n
        <\/p>\n
        Conforter et renforcer l\u2019image de marque du cabinet<\/li>\n
        <\/p>\n
        Acqu\u00e9rir de nouveaux clients et de nouveaux march\u00e9s<\/li>\n
        <\/p>\n
        Remporter des appels d\u2019offre (les acheteurs publics ont l\u2019obligation de v\u00e9rifier la conformit\u00e9 RGPD des soumissionnaires \u00e0 appel d\u2019offres)<\/li>\n
        <\/p>\n
        Am\u00e9liorer l\u2019organisation interne et renforcer la confiance des collaborateurs de l\u2019organisme<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        \u00catre conforme RGPD est donc primordial.<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quel est le r\u00f4le de l\u2019expert-comptable dans l\u2019accompagnement de ses clients en mati\u00e8re de conformit\u00e9 RGPD\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        En application de l’article 155 du D\u00e9cret du 30 mars 2012 relatif \u00e0 l’exercice de l’activit\u00e9 d’expertise comptable, les experts-comptables sont tenus \u00e0 un devoir d\u2019information et de conseil \u00e0 l\u2019\u00e9gard de leurs clients ou adh\u00e9rents.<\/p>
        <\/p>
        D\u00e8s lors, dans sa qualit\u00e9 et son devoir de conseil, le r\u00f4le de l\u2019expert comptable est de veiller \u00e0 ce que ses clients respectent le RGPD, notamment \u00e0 l\u2019occasion de ses missions d\u2019audits ou de l\u2019\u00e9laboration de propositions offres d\u2019accompagnement. Pour \u00e9viter tout cas de contentieux en d\u00e9faut d’information et de conseil, les experts-comptables doivent donc \u00e0 minima informer leurs clients de leur obligation \u00e0 se mettre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Un partenariat entre la CNIL et le CSOEC a \u00e9t\u00e9 conclu en ce sens en 2020 afin notamment de diffuser une culture de la protection des donn\u00e9es personnelles aupr\u00e8s des experts-comptables, \u00e0 la fois pour la mise en conformit\u00e9 de leur propre structure mais \u00e9galement dans leur r\u00f4le de proximit\u00e9 aupr\u00e8s des entreprises.<\/p>
        <\/p>
        En effet, les experts-comptables ont une connaissance approfondie des risques li\u00e9s \u00e0 l\u2019activit\u00e9 de leurs clients et ils constituent un interlocuteur privil\u00e9gi\u00e9 pour r\u00e9pondre aux besoins de mise en conformit\u00e9 de ces derniers. Le CSOEC estime ainsi que \u00ab Les experts-comptables sont comp\u00e9tents en mati\u00e8re de protection des donn\u00e9es personnelles d\u00e8s lors qu\u2019ils ont d\u00e9j\u00e0 mis en place les obligations impos\u00e9es par le RGPD au sein de leurs cabinets. Ils peuvent donc proposer une mission dans laquelle ils accompagnent leurs entreprises clientes \u00e0 mettre en place le RGPD \u00bb.<\/p>
        <\/p>
        C’est dans ce contexte que l’expert-comptable est amen\u00e9 \u00e0 la fois \u00e0 alerter ses clients sur leur conformit\u00e9 RGPD et \u00e0 leur proposer des prestations de service relatives \u00e0 la mise en conformit\u00e9 RGPD.<\/p>
        <\/p>"}},{"@type":"Question","name":"Qu\u2019implique la mise en conformit\u00e9 au RGPD pour le cabinet d\u2019expertise comptable ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>\n
        Le processus de mise en conformit\u00e9 au RGPD implique de respecter la mise en \u0153uvre de plusieurs mesures, notamment :<\/p>\n
        <\/p>\n
        <\/p>\n
        Constituer un registre des traitements des donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Il permet au cabinet d\u2019avoir une vision d\u2019ensemble sur les traitements de donn\u00e9es qu\u2019il r\u00e9alise. Le registre requiert de proc\u00e9der \u00e0 une identification des activit\u00e9s principales du cabinet ayant recours au traitement de donn\u00e9es personnelles, c\u2019est ce qu\u2019on appelle les traitements. L’expert-comptable responsable de traitement ou le sous-traitant doit ainsi proc\u00e9der \u00e0 la cr\u00e9ation d\u2019une fiche pour chaque traitement recens\u00e9, en indiquant notamment sa finalit\u00e9, c\u2019est-\u00e0-dire l\u2019objectif en vue duquel les donn\u00e9es sont trait\u00e9es par le cabinet.<\/p>\n
        <\/p>\n
        Enfin, le registre doit \u00eatre mis \u00e0 jour r\u00e9guli\u00e8rement car les cabinets peuvent \u00eatre amen\u00e9s \u00e0 changer de logiciels, \u00e0 faire \u00e9voluer leur organisation interne ou \u00e0 changer de sous-traitants. La protection des donn\u00e9es doit donc \u00eatre continue.<\/p>\n
        <\/p>\n
        A noter : Il est vivement conseill\u00e9 de confier la tenue du registre de traitements au d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es (DPD) \/ data protection officer (DPO) qui se chargera de sa mise \u00e0 jour r\u00e9guli\u00e8rement.<\/em><\/p>\n
        <\/p>\n
        <\/p>\n
        Trier les donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le cabinet doit se limiter \u00e0 la collecte des donn\u00e9es strictement n\u00e9cessaires au traitement. C\u2019est le principe de minimisation des donn\u00e9es. Ainsi, les donn\u00e9es ne doivent \u00eatre trait\u00e9es que si :<\/p>\n
        <\/p>\n
        <\/p>\n
        elles sont n\u00e9cessaires \u00e0 l\u2019activit\u00e9 de l\u2019organisme ;<\/li>\n
        <\/p>\n
        il ne s\u2019agit pas de donn\u00e9es dites \u00ab sensibles \u00bb, dans le cas contraire il convient de s\u2019assurer que le cabinet a bien le droit de les traiter ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont accessibles uniquement aux personnes habilit\u00e9es ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont conserv\u00e9es uniquement le temps n\u00e9cessaire et\/ou r\u00e8glementaire ;<\/li>\n
        <\/p>\n
        Respecter les droits des personnes. <\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le RGPD a pour objectif de renforcer la protection des donn\u00e9es des personnes. C\u2019est pourquoi il est venu conf\u00e9rer \u00e0 ces derni\u00e8res un certain nombre de droits, notamment le droit d\u2019acc\u00e8s, de rectification, d\u2019opposition, d\u2019effacement, le droit \u00e0 la limitation du traitement, \u00e0 la portabilit\u00e9. C\u2019est au responsable de traitement qu\u2019il appartient de mettre en place les mesures visant \u00e0 faire respecter ces droits.<\/p>\n
        <\/p>\n
        <\/p>\n
        S\u00e9curiser les donn\u00e9es personnelles<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le responsable de traitement doit prendre les mesures n\u00e9cessaires afin de garantir la s\u00e9curisation des donn\u00e9es personnelles en r\u00e9duisant les risques de violations de donn\u00e9es en respectant notamment les principes suivants :<\/p>\n
        <\/p>\n
        <\/p>\n
        Le principe de confidentialit\u00e9 : les donn\u00e9es doivent \u00eatre accessibles aux seules personnes autoris\u00e9es<\/li>\n
        <\/p>\n
        Le principe d\u2019int\u00e9grit\u00e9 : les donn\u00e9es ne doivent pas \u00eatre alt\u00e9r\u00e9es ou modifi\u00e9es<\/li>\n
        <\/p>\n
        Le principe de disponibilit\u00e9 : les donn\u00e9es doivent \u00eatre en permanence accessibles aux personnes autoris\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Si un organisme subi une violation de donn\u00e9es, il doit proc\u00e9der \u00e0 un signalement \u00e0 la CNIL dans les 72 heures suivant la violation, si celle-ci est susceptible de repr\u00e9senter un risque pour les droits et libert\u00e9s des personnes concern\u00e9es.<\/p>\n
        <\/p>\n
        <\/p>\n
        Respecter le principe d\u2019accountability<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Ce principe d\u00e9signe l\u2019obligation pour les cabinets de mettre en \u0153uvre des m\u00e9canismes et des proc\u00e9dures internes permettant de d\u00e9montrer le respect des r\u00e8gles relatives \u00e0 la protection des donn\u00e9es.<\/p>\n
        <\/p>\n
        En cas de contr\u00f4le de la CNIL, la cabinet doit donc \u00eatre en mesure de d\u00e9montrer sa conformit\u00e9 au RGPD et les mesures prises \u00e0 cet effet.<\/p>\n
        <\/p>\n
        <\/p>\n
        R\u00e9vision des pratiques, contrats et lettre de mission rgpd expert-comptable<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Dans le cadre du processus de mise en conformit\u00e9, il est \u00e9galement n\u00e9cessaire de modifier tous les contrats de prestation et les lettres de mission du cabinet. L\u2019Ordre des experts comptables recommande en ce sens de revoir les contrats clients en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>\n
        <\/p>\n
        \u00c9galement, il est d\u00e9sormais exclu de communiquer des bulletins de paie par email. Il convient dor\u00e9navant d\u2019utiliser une plateforme<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quelles sont les nouvelles responsabilit\u00e9s qu\u2019implique le RGPD pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Au-del\u00e0 des responsabilit\u00e9s inh\u00e9rentes \u00e0 la qualit\u00e9 de responsable de traitement, le RGPD implique de nouvelles responsabilit\u00e9s pour les experts-comptables. Tout d\u2019abord, ils voient leur responsabilit\u00e9 renforc\u00e9e en mati\u00e8re de devoir d\u2019information et de conseil, du fait de leur devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit offrir \u00e0 ses clients \u00ab des garanties suffisantes quant \u00e0 la mise en \u0153uvre de mesures techniques et organisationnelles appropri\u00e9es de mani\u00e8re \u00e0 ce que le traitement r\u00e9ponde aux exigences du pr\u00e9sent r\u00e8glement et garantisse la protection des droits de la personne concern\u00e9e \u00bb (Art.28 RGPD).<\/p>
        <\/p>
        Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        <\/p>
        Lorsque des manquements au RGPD ou \u00e0 la loi sont port\u00e9s \u00e0 sa connaissance, la CNIL peut :<\/p>
        <\/p>
        Prononcer un rappel \u00e0 l\u2019ordre ;<\/li>
        Enjoindre de mettre le traitement en conformit\u00e9, y compris sous astreinte ;<\/li>
        Limiter temporairement ou d\u00e9finitivement un traitement ;<\/li>
        Suspendre les flux de donn\u00e9es ;<\/li>
        Ordonner de satisfaire aux demandes d’exercice des droits des personnes, y compris sous astreinte ;<\/li>
        Prononcer une amende administrative qui peut \u00eatre rendue publique et dont le montant peut s\u2019\u00e9lever :<\/li>
        Jusqu\u2019\u00e0 2 % du chiffre d\u2019affaires mondial de l\u2019entreprise pour des manquements tels que l\u2019absence de registre de traitements, le d\u00e9faut d\u2019annonce suite \u00e0 une faille d\u00e9cel\u00e9e, le d\u00e9faut d\u2019\u00e9tude d\u2019impact sur la vie priv\u00e9e (en cas de donn\u00e9es sensibles), etc.<\/li>
        Jusqu\u2019\u00e0 4 % du chiffre d\u2019affaires mondial notamment en cas de refus d\u2019obtemp\u00e9rer aux injonctions de la CNIL, de traitements de donn\u00e9es ill\u00e9gaux, de d\u00e9faut de consentement, de non-respect des droits des personnes, etc.<\/li><\/ul>
        <\/p>
        \u00c9galement, toute personne concern\u00e9e par une violation de ses donn\u00e9es personnelles par le responsable de traitement et\/ou son sous-traitant, et ayant subi un dommage mat\u00e9riel ou moral du fait de cette violation, peut obtenir r\u00e9paration de son pr\u00e9judice notamment sous la forme de dommages et int\u00e9r\u00eats. En cas de contr\u00f4le de la CNIL, vous devez \u00eatre en mesure de garantir la protection des donn\u00e9es personnelles et de d\u00e9montrer les mesures prises \u00e0 cet effet.<\/p>
        <\/p>"}},{"@type":"Question","name":"Pourquoi se mettre en conformit\u00e9 au RGPD\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>\n
        Il est n\u00e9cessaire de se mettre en conformit\u00e9 au RGPD et ce pour plusieurs raisons.<\/p>\n
        <\/p>\n
        Tout d\u2019abord, il s\u2019agit d\u2019une obligation impos\u00e9e \u00e0 tout organisme, public ou priv\u00e9, traitant des donn\u00e9es personnelles d\u00e8s lors que celui-ci est \u00e9tabli sur le territoire de l\u2019Union europ\u00e9enne ou que son activit\u00e9 cible directement des r\u00e9sidents europ\u00e9ens.<\/p>\n
        <\/p>\n
        Ensuite, les organisations non conformes au RGPD s\u2019exposent \u00e0 de forts risques de sanctions dont notamment des amendes administratives pouvant s\u2019\u00e9lever \u00e0 hauteur de 2 ou 4% du chiffre d’affaires annuel mondial de l\u2019entreprise.<\/p>\n
        <\/p>\n
        Enfin, au-del\u00e0 d\u2019\u00eatre une obligation l\u00e9gale et r\u00e8glementaire et de constituer un risque accru de sanction, le RGPD est une v\u00e9ritable opportunit\u00e9 puisqu\u2019il permet de :<\/p>\n
        <\/p>\n
        <\/p>\n
        Valoriser la data en exploitant les donn\u00e9es de mani\u00e8re l\u00e9gale et qualitative<\/li>\n
        <\/p>\n
        Accro\u00eetre la confiance des clients, partenaires et prospects gr\u00e2ce \u00e0 la transparence<\/li>\n
        <\/p>\n
        Conforter et renforcer l\u2019image de marque du cabinet<\/li>\n
        <\/p>\n
        Acqu\u00e9rir de nouveaux clients et de nouveaux march\u00e9s<\/li>\n
        <\/p>\n
        Remporter des appels d\u2019offre (les acheteurs publics ont l\u2019obligation de v\u00e9rifier la conformit\u00e9 RGPD des soumissionnaires \u00e0 appel d\u2019offres)<\/li>\n
        <\/p>\n
        Am\u00e9liorer l\u2019organisation interne et renforcer la confiance des collaborateurs de l\u2019organisme<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        \u00catre conforme RGPD est donc primordial.<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quel est le r\u00f4le de l\u2019expert-comptable dans l\u2019accompagnement de ses clients en mati\u00e8re de conformit\u00e9 RGPD\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        En application de l’article 155 du D\u00e9cret du 30 mars 2012 relatif \u00e0 l’exercice de l’activit\u00e9 d’expertise comptable, les experts-comptables sont tenus \u00e0 un devoir d\u2019information et de conseil \u00e0 l\u2019\u00e9gard de leurs clients ou adh\u00e9rents.<\/p>
        <\/p>
        D\u00e8s lors, dans sa qualit\u00e9 et son devoir de conseil, le r\u00f4le de l\u2019expert comptable est de veiller \u00e0 ce que ses clients respectent le RGPD, notamment \u00e0 l\u2019occasion de ses missions d\u2019audits ou de l\u2019\u00e9laboration de propositions offres d\u2019accompagnement. Pour \u00e9viter tout cas de contentieux en d\u00e9faut d’information et de conseil, les experts-comptables doivent donc \u00e0 minima informer leurs clients de leur obligation \u00e0 se mettre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Un partenariat entre la CNIL et le CSOEC a \u00e9t\u00e9 conclu en ce sens en 2020 afin notamment de diffuser une culture de la protection des donn\u00e9es personnelles aupr\u00e8s des experts-comptables, \u00e0 la fois pour la mise en conformit\u00e9 de leur propre structure mais \u00e9galement dans leur r\u00f4le de proximit\u00e9 aupr\u00e8s des entreprises.<\/p>
        <\/p>
        En effet, les experts-comptables ont une connaissance approfondie des risques li\u00e9s \u00e0 l\u2019activit\u00e9 de leurs clients et ils constituent un interlocuteur privil\u00e9gi\u00e9 pour r\u00e9pondre aux besoins de mise en conformit\u00e9 de ces derniers. Le CSOEC estime ainsi que \u00ab Les experts-comptables sont comp\u00e9tents en mati\u00e8re de protection des donn\u00e9es personnelles d\u00e8s lors qu\u2019ils ont d\u00e9j\u00e0 mis en place les obligations impos\u00e9es par le RGPD au sein de leurs cabinets. Ils peuvent donc proposer une mission dans laquelle ils accompagnent leurs entreprises clientes \u00e0 mettre en place le RGPD \u00bb.<\/p>
        <\/p>
        C’est dans ce contexte que l’expert-comptable est amen\u00e9 \u00e0 la fois \u00e0 alerter ses clients sur leur conformit\u00e9 RGPD et \u00e0 leur proposer des prestations de service relatives \u00e0 la mise en conformit\u00e9 RGPD.<\/p>
        <\/p>"}},{"@type":"Question","name":"Qu\u2019implique la mise en conformit\u00e9 au RGPD pour le cabinet d\u2019expertise comptable ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>\n
        Le processus de mise en conformit\u00e9 au RGPD implique de respecter la mise en \u0153uvre de plusieurs mesures, notamment :<\/p>\n
        <\/p>\n
        <\/p>\n
        Constituer un registre des traitements des donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Il permet au cabinet d\u2019avoir une vision d\u2019ensemble sur les traitements de donn\u00e9es qu\u2019il r\u00e9alise. Le registre requiert de proc\u00e9der \u00e0 une identification des activit\u00e9s principales du cabinet ayant recours au traitement de donn\u00e9es personnelles, c\u2019est ce qu\u2019on appelle les traitements. L’expert-comptable responsable de traitement ou le sous-traitant doit ainsi proc\u00e9der \u00e0 la cr\u00e9ation d\u2019une fiche pour chaque traitement recens\u00e9, en indiquant notamment sa finalit\u00e9, c\u2019est-\u00e0-dire l\u2019objectif en vue duquel les donn\u00e9es sont trait\u00e9es par le cabinet.<\/p>\n
        <\/p>\n
        Enfin, le registre doit \u00eatre mis \u00e0 jour r\u00e9guli\u00e8rement car les cabinets peuvent \u00eatre amen\u00e9s \u00e0 changer de logiciels, \u00e0 faire \u00e9voluer leur organisation interne ou \u00e0 changer de sous-traitants. La protection des donn\u00e9es doit donc \u00eatre continue.<\/p>\n
        <\/p>\n
        A noter : Il est vivement conseill\u00e9 de confier la tenue du registre de traitements au d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es (DPD) \/ data protection officer (DPO) qui se chargera de sa mise \u00e0 jour r\u00e9guli\u00e8rement.<\/em><\/p>\n
        <\/p>\n
        <\/p>\n
        Trier les donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le cabinet doit se limiter \u00e0 la collecte des donn\u00e9es strictement n\u00e9cessaires au traitement. C\u2019est le principe de minimisation des donn\u00e9es. Ainsi, les donn\u00e9es ne doivent \u00eatre trait\u00e9es que si :<\/p>\n
        <\/p>\n
        <\/p>\n
        elles sont n\u00e9cessaires \u00e0 l\u2019activit\u00e9 de l\u2019organisme ;<\/li>\n
        <\/p>\n
        il ne s\u2019agit pas de donn\u00e9es dites \u00ab sensibles \u00bb, dans le cas contraire il convient de s\u2019assurer que le cabinet a bien le droit de les traiter ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont accessibles uniquement aux personnes habilit\u00e9es ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont conserv\u00e9es uniquement le temps n\u00e9cessaire et\/ou r\u00e8glementaire ;<\/li>\n
        <\/p>\n
        Respecter les droits des personnes. <\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le RGPD a pour objectif de renforcer la protection des donn\u00e9es des personnes. C\u2019est pourquoi il est venu conf\u00e9rer \u00e0 ces derni\u00e8res un certain nombre de droits, notamment le droit d\u2019acc\u00e8s, de rectification, d\u2019opposition, d\u2019effacement, le droit \u00e0 la limitation du traitement, \u00e0 la portabilit\u00e9. C\u2019est au responsable de traitement qu\u2019il appartient de mettre en place les mesures visant \u00e0 faire respecter ces droits.<\/p>\n
        <\/p>\n
        <\/p>\n
        S\u00e9curiser les donn\u00e9es personnelles<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le responsable de traitement doit prendre les mesures n\u00e9cessaires afin de garantir la s\u00e9curisation des donn\u00e9es personnelles en r\u00e9duisant les risques de violations de donn\u00e9es en respectant notamment les principes suivants :<\/p>\n
        <\/p>\n
        <\/p>\n
        Le principe de confidentialit\u00e9 : les donn\u00e9es doivent \u00eatre accessibles aux seules personnes autoris\u00e9es<\/li>\n
        <\/p>\n
        Le principe d\u2019int\u00e9grit\u00e9 : les donn\u00e9es ne doivent pas \u00eatre alt\u00e9r\u00e9es ou modifi\u00e9es<\/li>\n
        <\/p>\n
        Le principe de disponibilit\u00e9 : les donn\u00e9es doivent \u00eatre en permanence accessibles aux personnes autoris\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Si un organisme subi une violation de donn\u00e9es, il doit proc\u00e9der \u00e0 un signalement \u00e0 la CNIL dans les 72 heures suivant la violation, si celle-ci est susceptible de repr\u00e9senter un risque pour les droits et libert\u00e9s des personnes concern\u00e9es.<\/p>\n
        <\/p>\n
        <\/p>\n
        Respecter le principe d\u2019accountability<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Ce principe d\u00e9signe l\u2019obligation pour les cabinets de mettre en \u0153uvre des m\u00e9canismes et des proc\u00e9dures internes permettant de d\u00e9montrer le respect des r\u00e8gles relatives \u00e0 la protection des donn\u00e9es.<\/p>\n
        <\/p>\n
        En cas de contr\u00f4le de la CNIL, la cabinet doit donc \u00eatre en mesure de d\u00e9montrer sa conformit\u00e9 au RGPD et les mesures prises \u00e0 cet effet.<\/p>\n
        <\/p>\n
        <\/p>\n
        R\u00e9vision des pratiques, contrats et lettre de mission rgpd expert-comptable<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Dans le cadre du processus de mise en conformit\u00e9, il est \u00e9galement n\u00e9cessaire de modifier tous les contrats de prestation et les lettres de mission du cabinet. L\u2019Ordre des experts comptables recommande en ce sens de revoir les contrats clients en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>\n
        <\/p>\n
        \u00c9galement, il est d\u00e9sormais exclu de communiquer des bulletins de paie par email. Il convient dor\u00e9navant d\u2019utiliser une plateforme<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quelles sont les nouvelles responsabilit\u00e9s qu\u2019implique le RGPD pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Au-del\u00e0 des responsabilit\u00e9s inh\u00e9rentes \u00e0 la qualit\u00e9 de responsable de traitement, le RGPD implique de nouvelles responsabilit\u00e9s pour les experts-comptables. Tout d\u2019abord, ils voient leur responsabilit\u00e9 renforc\u00e9e en mati\u00e8re de devoir d\u2019information et de conseil, du fait de leur devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit offrir \u00e0 ses clients \u00ab des garanties suffisantes quant \u00e0 la mise en \u0153uvre de mesures techniques et organisationnelles appropri\u00e9es de mani\u00e8re \u00e0 ce que le traitement r\u00e9ponde aux exigences du pr\u00e9sent r\u00e8glement et garantisse la protection des droits de la personne concern\u00e9e \u00bb (Art.28 RGPD).<\/p>
        <\/p>
        Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        <\/p>
        A l’issue de contr\u00f4le ou de plaintes, en cas de m\u00e9connaissance des dispositions du RGPD ou de la loi de la part des responsables de traitement et des sous-traitants, la CNIL peut prononcer des sanctions \u00e0 l’\u00e9gard des responsables de traitements et\/ou de leurs sous-traitants qui ne respecteraient pas ces textes.<\/p>
        <\/p>
        Lorsque des manquements au RGPD ou \u00e0 la loi sont port\u00e9s \u00e0 sa connaissance, la CNIL peut :<\/p>
        <\/p>
        Prononcer un rappel \u00e0 l\u2019ordre ;<\/li>
        Enjoindre de mettre le traitement en conformit\u00e9, y compris sous astreinte ;<\/li>
        Limiter temporairement ou d\u00e9finitivement un traitement ;<\/li>
        Suspendre les flux de donn\u00e9es ;<\/li>
        Ordonner de satisfaire aux demandes d’exercice des droits des personnes, y compris sous astreinte ;<\/li>
        Prononcer une amende administrative qui peut \u00eatre rendue publique et dont le montant peut s\u2019\u00e9lever :<\/li>
        Jusqu\u2019\u00e0 2 % du chiffre d\u2019affaires mondial de l\u2019entreprise pour des manquements tels que l\u2019absence de registre de traitements, le d\u00e9faut d\u2019annonce suite \u00e0 une faille d\u00e9cel\u00e9e, le d\u00e9faut d\u2019\u00e9tude d\u2019impact sur la vie priv\u00e9e (en cas de donn\u00e9es sensibles), etc.<\/li>
        Jusqu\u2019\u00e0 4 % du chiffre d\u2019affaires mondial notamment en cas de refus d\u2019obtemp\u00e9rer aux injonctions de la CNIL, de traitements de donn\u00e9es ill\u00e9gaux, de d\u00e9faut de consentement, de non-respect des droits des personnes, etc.<\/li><\/ul>
        <\/p>
        \u00c9galement, toute personne concern\u00e9e par une violation de ses donn\u00e9es personnelles par le responsable de traitement et\/ou son sous-traitant, et ayant subi un dommage mat\u00e9riel ou moral du fait de cette violation, peut obtenir r\u00e9paration de son pr\u00e9judice notamment sous la forme de dommages et int\u00e9r\u00eats. En cas de contr\u00f4le de la CNIL, vous devez \u00eatre en mesure de garantir la protection des donn\u00e9es personnelles et de d\u00e9montrer les mesures prises \u00e0 cet effet.<\/p>
        <\/p>"}},{"@type":"Question","name":"Pourquoi se mettre en conformit\u00e9 au RGPD\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>\n
        Il est n\u00e9cessaire de se mettre en conformit\u00e9 au RGPD et ce pour plusieurs raisons.<\/p>\n
        <\/p>\n
        Tout d\u2019abord, il s\u2019agit d\u2019une obligation impos\u00e9e \u00e0 tout organisme, public ou priv\u00e9, traitant des donn\u00e9es personnelles d\u00e8s lors que celui-ci est \u00e9tabli sur le territoire de l\u2019Union europ\u00e9enne ou que son activit\u00e9 cible directement des r\u00e9sidents europ\u00e9ens.<\/p>\n
        <\/p>\n
        Ensuite, les organisations non conformes au RGPD s\u2019exposent \u00e0 de forts risques de sanctions dont notamment des amendes administratives pouvant s\u2019\u00e9lever \u00e0 hauteur de 2 ou 4% du chiffre d’affaires annuel mondial de l\u2019entreprise.<\/p>\n
        <\/p>\n
        Enfin, au-del\u00e0 d\u2019\u00eatre une obligation l\u00e9gale et r\u00e8glementaire et de constituer un risque accru de sanction, le RGPD est une v\u00e9ritable opportunit\u00e9 puisqu\u2019il permet de :<\/p>\n
        <\/p>\n
        <\/p>\n
        Valoriser la data en exploitant les donn\u00e9es de mani\u00e8re l\u00e9gale et qualitative<\/li>\n
        <\/p>\n
        Accro\u00eetre la confiance des clients, partenaires et prospects gr\u00e2ce \u00e0 la transparence<\/li>\n
        <\/p>\n
        Conforter et renforcer l\u2019image de marque du cabinet<\/li>\n
        <\/p>\n
        Acqu\u00e9rir de nouveaux clients et de nouveaux march\u00e9s<\/li>\n
        <\/p>\n
        Remporter des appels d\u2019offre (les acheteurs publics ont l\u2019obligation de v\u00e9rifier la conformit\u00e9 RGPD des soumissionnaires \u00e0 appel d\u2019offres)<\/li>\n
        <\/p>\n
        Am\u00e9liorer l\u2019organisation interne et renforcer la confiance des collaborateurs de l\u2019organisme<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        \u00catre conforme RGPD est donc primordial.<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quel est le r\u00f4le de l\u2019expert-comptable dans l\u2019accompagnement de ses clients en mati\u00e8re de conformit\u00e9 RGPD\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        En application de l’article 155 du D\u00e9cret du 30 mars 2012 relatif \u00e0 l’exercice de l’activit\u00e9 d’expertise comptable, les experts-comptables sont tenus \u00e0 un devoir d\u2019information et de conseil \u00e0 l\u2019\u00e9gard de leurs clients ou adh\u00e9rents.<\/p>
        <\/p>
        D\u00e8s lors, dans sa qualit\u00e9 et son devoir de conseil, le r\u00f4le de l\u2019expert comptable est de veiller \u00e0 ce que ses clients respectent le RGPD, notamment \u00e0 l\u2019occasion de ses missions d\u2019audits ou de l\u2019\u00e9laboration de propositions offres d\u2019accompagnement. Pour \u00e9viter tout cas de contentieux en d\u00e9faut d’information et de conseil, les experts-comptables doivent donc \u00e0 minima informer leurs clients de leur obligation \u00e0 se mettre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Un partenariat entre la CNIL et le CSOEC a \u00e9t\u00e9 conclu en ce sens en 2020 afin notamment de diffuser une culture de la protection des donn\u00e9es personnelles aupr\u00e8s des experts-comptables, \u00e0 la fois pour la mise en conformit\u00e9 de leur propre structure mais \u00e9galement dans leur r\u00f4le de proximit\u00e9 aupr\u00e8s des entreprises.<\/p>
        <\/p>
        En effet, les experts-comptables ont une connaissance approfondie des risques li\u00e9s \u00e0 l\u2019activit\u00e9 de leurs clients et ils constituent un interlocuteur privil\u00e9gi\u00e9 pour r\u00e9pondre aux besoins de mise en conformit\u00e9 de ces derniers. Le CSOEC estime ainsi que \u00ab Les experts-comptables sont comp\u00e9tents en mati\u00e8re de protection des donn\u00e9es personnelles d\u00e8s lors qu\u2019ils ont d\u00e9j\u00e0 mis en place les obligations impos\u00e9es par le RGPD au sein de leurs cabinets. Ils peuvent donc proposer une mission dans laquelle ils accompagnent leurs entreprises clientes \u00e0 mettre en place le RGPD \u00bb.<\/p>
        <\/p>
        C’est dans ce contexte que l’expert-comptable est amen\u00e9 \u00e0 la fois \u00e0 alerter ses clients sur leur conformit\u00e9 RGPD et \u00e0 leur proposer des prestations de service relatives \u00e0 la mise en conformit\u00e9 RGPD.<\/p>
        <\/p>"}},{"@type":"Question","name":"Qu\u2019implique la mise en conformit\u00e9 au RGPD pour le cabinet d\u2019expertise comptable ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>\n
        Le processus de mise en conformit\u00e9 au RGPD implique de respecter la mise en \u0153uvre de plusieurs mesures, notamment :<\/p>\n
        <\/p>\n
        <\/p>\n
        Constituer un registre des traitements des donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Il permet au cabinet d\u2019avoir une vision d\u2019ensemble sur les traitements de donn\u00e9es qu\u2019il r\u00e9alise. Le registre requiert de proc\u00e9der \u00e0 une identification des activit\u00e9s principales du cabinet ayant recours au traitement de donn\u00e9es personnelles, c\u2019est ce qu\u2019on appelle les traitements. L’expert-comptable responsable de traitement ou le sous-traitant doit ainsi proc\u00e9der \u00e0 la cr\u00e9ation d\u2019une fiche pour chaque traitement recens\u00e9, en indiquant notamment sa finalit\u00e9, c\u2019est-\u00e0-dire l\u2019objectif en vue duquel les donn\u00e9es sont trait\u00e9es par le cabinet.<\/p>\n
        <\/p>\n
        Enfin, le registre doit \u00eatre mis \u00e0 jour r\u00e9guli\u00e8rement car les cabinets peuvent \u00eatre amen\u00e9s \u00e0 changer de logiciels, \u00e0 faire \u00e9voluer leur organisation interne ou \u00e0 changer de sous-traitants. La protection des donn\u00e9es doit donc \u00eatre continue.<\/p>\n
        <\/p>\n
        A noter : Il est vivement conseill\u00e9 de confier la tenue du registre de traitements au d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es (DPD) \/ data protection officer (DPO) qui se chargera de sa mise \u00e0 jour r\u00e9guli\u00e8rement.<\/em><\/p>\n
        <\/p>\n
        <\/p>\n
        Trier les donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le cabinet doit se limiter \u00e0 la collecte des donn\u00e9es strictement n\u00e9cessaires au traitement. C\u2019est le principe de minimisation des donn\u00e9es. Ainsi, les donn\u00e9es ne doivent \u00eatre trait\u00e9es que si :<\/p>\n
        <\/p>\n
        <\/p>\n
        elles sont n\u00e9cessaires \u00e0 l\u2019activit\u00e9 de l\u2019organisme ;<\/li>\n
        <\/p>\n
        il ne s\u2019agit pas de donn\u00e9es dites \u00ab sensibles \u00bb, dans le cas contraire il convient de s\u2019assurer que le cabinet a bien le droit de les traiter ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont accessibles uniquement aux personnes habilit\u00e9es ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont conserv\u00e9es uniquement le temps n\u00e9cessaire et\/ou r\u00e8glementaire ;<\/li>\n
        <\/p>\n
        Respecter les droits des personnes. <\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le RGPD a pour objectif de renforcer la protection des donn\u00e9es des personnes. C\u2019est pourquoi il est venu conf\u00e9rer \u00e0 ces derni\u00e8res un certain nombre de droits, notamment le droit d\u2019acc\u00e8s, de rectification, d\u2019opposition, d\u2019effacement, le droit \u00e0 la limitation du traitement, \u00e0 la portabilit\u00e9. C\u2019est au responsable de traitement qu\u2019il appartient de mettre en place les mesures visant \u00e0 faire respecter ces droits.<\/p>\n
        <\/p>\n
        <\/p>\n
        S\u00e9curiser les donn\u00e9es personnelles<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le responsable de traitement doit prendre les mesures n\u00e9cessaires afin de garantir la s\u00e9curisation des donn\u00e9es personnelles en r\u00e9duisant les risques de violations de donn\u00e9es en respectant notamment les principes suivants :<\/p>\n
        <\/p>\n
        <\/p>\n
        Le principe de confidentialit\u00e9 : les donn\u00e9es doivent \u00eatre accessibles aux seules personnes autoris\u00e9es<\/li>\n
        <\/p>\n
        Le principe d\u2019int\u00e9grit\u00e9 : les donn\u00e9es ne doivent pas \u00eatre alt\u00e9r\u00e9es ou modifi\u00e9es<\/li>\n
        <\/p>\n
        Le principe de disponibilit\u00e9 : les donn\u00e9es doivent \u00eatre en permanence accessibles aux personnes autoris\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Si un organisme subi une violation de donn\u00e9es, il doit proc\u00e9der \u00e0 un signalement \u00e0 la CNIL dans les 72 heures suivant la violation, si celle-ci est susceptible de repr\u00e9senter un risque pour les droits et libert\u00e9s des personnes concern\u00e9es.<\/p>\n
        <\/p>\n
        <\/p>\n
        Respecter le principe d\u2019accountability<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Ce principe d\u00e9signe l\u2019obligation pour les cabinets de mettre en \u0153uvre des m\u00e9canismes et des proc\u00e9dures internes permettant de d\u00e9montrer le respect des r\u00e8gles relatives \u00e0 la protection des donn\u00e9es.<\/p>\n
        <\/p>\n
        En cas de contr\u00f4le de la CNIL, la cabinet doit donc \u00eatre en mesure de d\u00e9montrer sa conformit\u00e9 au RGPD et les mesures prises \u00e0 cet effet.<\/p>\n
        <\/p>\n
        <\/p>\n
        R\u00e9vision des pratiques, contrats et lettre de mission rgpd expert-comptable<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Dans le cadre du processus de mise en conformit\u00e9, il est \u00e9galement n\u00e9cessaire de modifier tous les contrats de prestation et les lettres de mission du cabinet. L\u2019Ordre des experts comptables recommande en ce sens de revoir les contrats clients en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>\n
        <\/p>\n
        \u00c9galement, il est d\u00e9sormais exclu de communiquer des bulletins de paie par email. Il convient dor\u00e9navant d\u2019utiliser une plateforme<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quelles sont les nouvelles responsabilit\u00e9s qu\u2019implique le RGPD pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Au-del\u00e0 des responsabilit\u00e9s inh\u00e9rentes \u00e0 la qualit\u00e9 de responsable de traitement, le RGPD implique de nouvelles responsabilit\u00e9s pour les experts-comptables. Tout d\u2019abord, ils voient leur responsabilit\u00e9 renforc\u00e9e en mati\u00e8re de devoir d\u2019information et de conseil, du fait de leur devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit offrir \u00e0 ses clients \u00ab des garanties suffisantes quant \u00e0 la mise en \u0153uvre de mesures techniques et organisationnelles appropri\u00e9es de mani\u00e8re \u00e0 ce que le traitement r\u00e9ponde aux exigences du pr\u00e9sent r\u00e8glement et garantisse la protection des droits de la personne concern\u00e9e \u00bb (Art.28 RGPD).<\/p>
        <\/p>
        Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        <\/p>
        Depuis le 25 mai 2018, tout organisme qui ne respecte pas ses obligations en mati\u00e8re de protection des donn\u00e9es personnelles (RGPD et Loi Informatique et Libert\u00e9s) s\u2019expose \u00e0 des sanctions administratives et p\u00e9nales.<\/p>
        <\/p>
        A l’issue de contr\u00f4le ou de plaintes, en cas de m\u00e9connaissance des dispositions du RGPD ou de la loi de la part des responsables de traitement et des sous-traitants, la CNIL peut prononcer des sanctions \u00e0 l’\u00e9gard des responsables de traitements et\/ou de leurs sous-traitants qui ne respecteraient pas ces textes.<\/p>
        <\/p>
        Lorsque des manquements au RGPD ou \u00e0 la loi sont port\u00e9s \u00e0 sa connaissance, la CNIL peut :<\/p>
        <\/p>
        Prononcer un rappel \u00e0 l\u2019ordre ;<\/li>
        Enjoindre de mettre le traitement en conformit\u00e9, y compris sous astreinte ;<\/li>
        Limiter temporairement ou d\u00e9finitivement un traitement ;<\/li>
        Suspendre les flux de donn\u00e9es ;<\/li>
        Ordonner de satisfaire aux demandes d’exercice des droits des personnes, y compris sous astreinte ;<\/li>
        Prononcer une amende administrative qui peut \u00eatre rendue publique et dont le montant peut s\u2019\u00e9lever :<\/li>
        Jusqu\u2019\u00e0 2 % du chiffre d\u2019affaires mondial de l\u2019entreprise pour des manquements tels que l\u2019absence de registre de traitements, le d\u00e9faut d\u2019annonce suite \u00e0 une faille d\u00e9cel\u00e9e, le d\u00e9faut d\u2019\u00e9tude d\u2019impact sur la vie priv\u00e9e (en cas de donn\u00e9es sensibles), etc.<\/li>
        Jusqu\u2019\u00e0 4 % du chiffre d\u2019affaires mondial notamment en cas de refus d\u2019obtemp\u00e9rer aux injonctions de la CNIL, de traitements de donn\u00e9es ill\u00e9gaux, de d\u00e9faut de consentement, de non-respect des droits des personnes, etc.<\/li><\/ul>
        <\/p>
        \u00c9galement, toute personne concern\u00e9e par une violation de ses donn\u00e9es personnelles par le responsable de traitement et\/ou son sous-traitant, et ayant subi un dommage mat\u00e9riel ou moral du fait de cette violation, peut obtenir r\u00e9paration de son pr\u00e9judice notamment sous la forme de dommages et int\u00e9r\u00eats. En cas de contr\u00f4le de la CNIL, vous devez \u00eatre en mesure de garantir la protection des donn\u00e9es personnelles et de d\u00e9montrer les mesures prises \u00e0 cet effet.<\/p>
        <\/p>"}},{"@type":"Question","name":"Pourquoi se mettre en conformit\u00e9 au RGPD\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>\n
        Il est n\u00e9cessaire de se mettre en conformit\u00e9 au RGPD et ce pour plusieurs raisons.<\/p>\n
        <\/p>\n
        Tout d\u2019abord, il s\u2019agit d\u2019une obligation impos\u00e9e \u00e0 tout organisme, public ou priv\u00e9, traitant des donn\u00e9es personnelles d\u00e8s lors que celui-ci est \u00e9tabli sur le territoire de l\u2019Union europ\u00e9enne ou que son activit\u00e9 cible directement des r\u00e9sidents europ\u00e9ens.<\/p>\n
        <\/p>\n
        Ensuite, les organisations non conformes au RGPD s\u2019exposent \u00e0 de forts risques de sanctions dont notamment des amendes administratives pouvant s\u2019\u00e9lever \u00e0 hauteur de 2 ou 4% du chiffre d’affaires annuel mondial de l\u2019entreprise.<\/p>\n
        <\/p>\n
        Enfin, au-del\u00e0 d\u2019\u00eatre une obligation l\u00e9gale et r\u00e8glementaire et de constituer un risque accru de sanction, le RGPD est une v\u00e9ritable opportunit\u00e9 puisqu\u2019il permet de :<\/p>\n
        <\/p>\n
        <\/p>\n
        Valoriser la data en exploitant les donn\u00e9es de mani\u00e8re l\u00e9gale et qualitative<\/li>\n
        <\/p>\n
        Accro\u00eetre la confiance des clients, partenaires et prospects gr\u00e2ce \u00e0 la transparence<\/li>\n
        <\/p>\n
        Conforter et renforcer l\u2019image de marque du cabinet<\/li>\n
        <\/p>\n
        Acqu\u00e9rir de nouveaux clients et de nouveaux march\u00e9s<\/li>\n
        <\/p>\n
        Remporter des appels d\u2019offre (les acheteurs publics ont l\u2019obligation de v\u00e9rifier la conformit\u00e9 RGPD des soumissionnaires \u00e0 appel d\u2019offres)<\/li>\n
        <\/p>\n
        Am\u00e9liorer l\u2019organisation interne et renforcer la confiance des collaborateurs de l\u2019organisme<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        \u00catre conforme RGPD est donc primordial.<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quel est le r\u00f4le de l\u2019expert-comptable dans l\u2019accompagnement de ses clients en mati\u00e8re de conformit\u00e9 RGPD\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        En application de l’article 155 du D\u00e9cret du 30 mars 2012 relatif \u00e0 l’exercice de l’activit\u00e9 d’expertise comptable, les experts-comptables sont tenus \u00e0 un devoir d\u2019information et de conseil \u00e0 l\u2019\u00e9gard de leurs clients ou adh\u00e9rents.<\/p>
        <\/p>
        D\u00e8s lors, dans sa qualit\u00e9 et son devoir de conseil, le r\u00f4le de l\u2019expert comptable est de veiller \u00e0 ce que ses clients respectent le RGPD, notamment \u00e0 l\u2019occasion de ses missions d\u2019audits ou de l\u2019\u00e9laboration de propositions offres d\u2019accompagnement. Pour \u00e9viter tout cas de contentieux en d\u00e9faut d’information et de conseil, les experts-comptables doivent donc \u00e0 minima informer leurs clients de leur obligation \u00e0 se mettre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Un partenariat entre la CNIL et le CSOEC a \u00e9t\u00e9 conclu en ce sens en 2020 afin notamment de diffuser une culture de la protection des donn\u00e9es personnelles aupr\u00e8s des experts-comptables, \u00e0 la fois pour la mise en conformit\u00e9 de leur propre structure mais \u00e9galement dans leur r\u00f4le de proximit\u00e9 aupr\u00e8s des entreprises.<\/p>
        <\/p>
        En effet, les experts-comptables ont une connaissance approfondie des risques li\u00e9s \u00e0 l\u2019activit\u00e9 de leurs clients et ils constituent un interlocuteur privil\u00e9gi\u00e9 pour r\u00e9pondre aux besoins de mise en conformit\u00e9 de ces derniers. Le CSOEC estime ainsi que \u00ab Les experts-comptables sont comp\u00e9tents en mati\u00e8re de protection des donn\u00e9es personnelles d\u00e8s lors qu\u2019ils ont d\u00e9j\u00e0 mis en place les obligations impos\u00e9es par le RGPD au sein de leurs cabinets. Ils peuvent donc proposer une mission dans laquelle ils accompagnent leurs entreprises clientes \u00e0 mettre en place le RGPD \u00bb.<\/p>
        <\/p>
        C’est dans ce contexte que l’expert-comptable est amen\u00e9 \u00e0 la fois \u00e0 alerter ses clients sur leur conformit\u00e9 RGPD et \u00e0 leur proposer des prestations de service relatives \u00e0 la mise en conformit\u00e9 RGPD.<\/p>
        <\/p>"}},{"@type":"Question","name":"Qu\u2019implique la mise en conformit\u00e9 au RGPD pour le cabinet d\u2019expertise comptable ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>\n
        Le processus de mise en conformit\u00e9 au RGPD implique de respecter la mise en \u0153uvre de plusieurs mesures, notamment :<\/p>\n
        <\/p>\n
        <\/p>\n
        Constituer un registre des traitements des donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Il permet au cabinet d\u2019avoir une vision d\u2019ensemble sur les traitements de donn\u00e9es qu\u2019il r\u00e9alise. Le registre requiert de proc\u00e9der \u00e0 une identification des activit\u00e9s principales du cabinet ayant recours au traitement de donn\u00e9es personnelles, c\u2019est ce qu\u2019on appelle les traitements. L’expert-comptable responsable de traitement ou le sous-traitant doit ainsi proc\u00e9der \u00e0 la cr\u00e9ation d\u2019une fiche pour chaque traitement recens\u00e9, en indiquant notamment sa finalit\u00e9, c\u2019est-\u00e0-dire l\u2019objectif en vue duquel les donn\u00e9es sont trait\u00e9es par le cabinet.<\/p>\n
        <\/p>\n
        Enfin, le registre doit \u00eatre mis \u00e0 jour r\u00e9guli\u00e8rement car les cabinets peuvent \u00eatre amen\u00e9s \u00e0 changer de logiciels, \u00e0 faire \u00e9voluer leur organisation interne ou \u00e0 changer de sous-traitants. La protection des donn\u00e9es doit donc \u00eatre continue.<\/p>\n
        <\/p>\n
        A noter : Il est vivement conseill\u00e9 de confier la tenue du registre de traitements au d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es (DPD) \/ data protection officer (DPO) qui se chargera de sa mise \u00e0 jour r\u00e9guli\u00e8rement.<\/em><\/p>\n
        <\/p>\n
        <\/p>\n
        Trier les donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le cabinet doit se limiter \u00e0 la collecte des donn\u00e9es strictement n\u00e9cessaires au traitement. C\u2019est le principe de minimisation des donn\u00e9es. Ainsi, les donn\u00e9es ne doivent \u00eatre trait\u00e9es que si :<\/p>\n
        <\/p>\n
        <\/p>\n
        elles sont n\u00e9cessaires \u00e0 l\u2019activit\u00e9 de l\u2019organisme ;<\/li>\n
        <\/p>\n
        il ne s\u2019agit pas de donn\u00e9es dites \u00ab sensibles \u00bb, dans le cas contraire il convient de s\u2019assurer que le cabinet a bien le droit de les traiter ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont accessibles uniquement aux personnes habilit\u00e9es ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont conserv\u00e9es uniquement le temps n\u00e9cessaire et\/ou r\u00e8glementaire ;<\/li>\n
        <\/p>\n
        Respecter les droits des personnes. <\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le RGPD a pour objectif de renforcer la protection des donn\u00e9es des personnes. C\u2019est pourquoi il est venu conf\u00e9rer \u00e0 ces derni\u00e8res un certain nombre de droits, notamment le droit d\u2019acc\u00e8s, de rectification, d\u2019opposition, d\u2019effacement, le droit \u00e0 la limitation du traitement, \u00e0 la portabilit\u00e9. C\u2019est au responsable de traitement qu\u2019il appartient de mettre en place les mesures visant \u00e0 faire respecter ces droits.<\/p>\n
        <\/p>\n
        <\/p>\n
        S\u00e9curiser les donn\u00e9es personnelles<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le responsable de traitement doit prendre les mesures n\u00e9cessaires afin de garantir la s\u00e9curisation des donn\u00e9es personnelles en r\u00e9duisant les risques de violations de donn\u00e9es en respectant notamment les principes suivants :<\/p>\n
        <\/p>\n
        <\/p>\n
        Le principe de confidentialit\u00e9 : les donn\u00e9es doivent \u00eatre accessibles aux seules personnes autoris\u00e9es<\/li>\n
        <\/p>\n
        Le principe d\u2019int\u00e9grit\u00e9 : les donn\u00e9es ne doivent pas \u00eatre alt\u00e9r\u00e9es ou modifi\u00e9es<\/li>\n
        <\/p>\n
        Le principe de disponibilit\u00e9 : les donn\u00e9es doivent \u00eatre en permanence accessibles aux personnes autoris\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Si un organisme subi une violation de donn\u00e9es, il doit proc\u00e9der \u00e0 un signalement \u00e0 la CNIL dans les 72 heures suivant la violation, si celle-ci est susceptible de repr\u00e9senter un risque pour les droits et libert\u00e9s des personnes concern\u00e9es.<\/p>\n
        <\/p>\n
        <\/p>\n
        Respecter le principe d\u2019accountability<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Ce principe d\u00e9signe l\u2019obligation pour les cabinets de mettre en \u0153uvre des m\u00e9canismes et des proc\u00e9dures internes permettant de d\u00e9montrer le respect des r\u00e8gles relatives \u00e0 la protection des donn\u00e9es.<\/p>\n
        <\/p>\n
        En cas de contr\u00f4le de la CNIL, la cabinet doit donc \u00eatre en mesure de d\u00e9montrer sa conformit\u00e9 au RGPD et les mesures prises \u00e0 cet effet.<\/p>\n
        <\/p>\n
        <\/p>\n
        R\u00e9vision des pratiques, contrats et lettre de mission rgpd expert-comptable<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Dans le cadre du processus de mise en conformit\u00e9, il est \u00e9galement n\u00e9cessaire de modifier tous les contrats de prestation et les lettres de mission du cabinet. L\u2019Ordre des experts comptables recommande en ce sens de revoir les contrats clients en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>\n
        <\/p>\n
        \u00c9galement, il est d\u00e9sormais exclu de communiquer des bulletins de paie par email. Il convient dor\u00e9navant d\u2019utiliser une plateforme<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quelles sont les nouvelles responsabilit\u00e9s qu\u2019implique le RGPD pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Au-del\u00e0 des responsabilit\u00e9s inh\u00e9rentes \u00e0 la qualit\u00e9 de responsable de traitement, le RGPD implique de nouvelles responsabilit\u00e9s pour les experts-comptables. Tout d\u2019abord, ils voient leur responsabilit\u00e9 renforc\u00e9e en mati\u00e8re de devoir d\u2019information et de conseil, du fait de leur devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit offrir \u00e0 ses clients \u00ab des garanties suffisantes quant \u00e0 la mise en \u0153uvre de mesures techniques et organisationnelles appropri\u00e9es de mani\u00e8re \u00e0 ce que le traitement r\u00e9ponde aux exigences du pr\u00e9sent r\u00e8glement et garantisse la protection des droits de la personne concern\u00e9e \u00bb (Art.28 RGPD).<\/p>
        <\/p>
        Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        <\/p>\n
        La responsabilit\u00e9 du cabinet et son obligation d\u2019information diff\u00e8rent en fonction de la qualification. Le CSOEC pr\u00e9conise d\u2019ailleurs \u00e0 ce sujet que l\u2019obligation d\u2019information des personnes physiques soit assum\u00e9e par le client lorsque le cabinet est co-responsable du traitement.<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quels sont les risques en cas de non-conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Depuis le 25 mai 2018, tout organisme qui ne respecte pas ses obligations en mati\u00e8re de protection des donn\u00e9es personnelles (RGPD et Loi Informatique et Libert\u00e9s) s\u2019expose \u00e0 des sanctions administratives et p\u00e9nales.<\/p>
        <\/p>
        A l’issue de contr\u00f4le ou de plaintes, en cas de m\u00e9connaissance des dispositions du RGPD ou de la loi de la part des responsables de traitement et des sous-traitants, la CNIL peut prononcer des sanctions \u00e0 l’\u00e9gard des responsables de traitements et\/ou de leurs sous-traitants qui ne respecteraient pas ces textes.<\/p>
        <\/p>
        Lorsque des manquements au RGPD ou \u00e0 la loi sont port\u00e9s \u00e0 sa connaissance, la CNIL peut :<\/p>
        <\/p>
        Prononcer un rappel \u00e0 l\u2019ordre ;<\/li>
        Enjoindre de mettre le traitement en conformit\u00e9, y compris sous astreinte ;<\/li>
        Limiter temporairement ou d\u00e9finitivement un traitement ;<\/li>
        Suspendre les flux de donn\u00e9es ;<\/li>
        Ordonner de satisfaire aux demandes d’exercice des droits des personnes, y compris sous astreinte ;<\/li>
        Prononcer une amende administrative qui peut \u00eatre rendue publique et dont le montant peut s\u2019\u00e9lever :<\/li>
        Jusqu\u2019\u00e0 2 % du chiffre d\u2019affaires mondial de l\u2019entreprise pour des manquements tels que l\u2019absence de registre de traitements, le d\u00e9faut d\u2019annonce suite \u00e0 une faille d\u00e9cel\u00e9e, le d\u00e9faut d\u2019\u00e9tude d\u2019impact sur la vie priv\u00e9e (en cas de donn\u00e9es sensibles), etc.<\/li>
        Jusqu\u2019\u00e0 4 % du chiffre d\u2019affaires mondial notamment en cas de refus d\u2019obtemp\u00e9rer aux injonctions de la CNIL, de traitements de donn\u00e9es ill\u00e9gaux, de d\u00e9faut de consentement, de non-respect des droits des personnes, etc.<\/li><\/ul>
        <\/p>
        \u00c9galement, toute personne concern\u00e9e par une violation de ses donn\u00e9es personnelles par le responsable de traitement et\/ou son sous-traitant, et ayant subi un dommage mat\u00e9riel ou moral du fait de cette violation, peut obtenir r\u00e9paration de son pr\u00e9judice notamment sous la forme de dommages et int\u00e9r\u00eats. En cas de contr\u00f4le de la CNIL, vous devez \u00eatre en mesure de garantir la protection des donn\u00e9es personnelles et de d\u00e9montrer les mesures prises \u00e0 cet effet.<\/p>
        <\/p>"}},{"@type":"Question","name":"Pourquoi se mettre en conformit\u00e9 au RGPD\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>\n
        Il est n\u00e9cessaire de se mettre en conformit\u00e9 au RGPD et ce pour plusieurs raisons.<\/p>\n
        <\/p>\n
        Tout d\u2019abord, il s\u2019agit d\u2019une obligation impos\u00e9e \u00e0 tout organisme, public ou priv\u00e9, traitant des donn\u00e9es personnelles d\u00e8s lors que celui-ci est \u00e9tabli sur le territoire de l\u2019Union europ\u00e9enne ou que son activit\u00e9 cible directement des r\u00e9sidents europ\u00e9ens.<\/p>\n
        <\/p>\n
        Ensuite, les organisations non conformes au RGPD s\u2019exposent \u00e0 de forts risques de sanctions dont notamment des amendes administratives pouvant s\u2019\u00e9lever \u00e0 hauteur de 2 ou 4% du chiffre d’affaires annuel mondial de l\u2019entreprise.<\/p>\n
        <\/p>\n
        Enfin, au-del\u00e0 d\u2019\u00eatre une obligation l\u00e9gale et r\u00e8glementaire et de constituer un risque accru de sanction, le RGPD est une v\u00e9ritable opportunit\u00e9 puisqu\u2019il permet de :<\/p>\n
        <\/p>\n
        <\/p>\n
        Valoriser la data en exploitant les donn\u00e9es de mani\u00e8re l\u00e9gale et qualitative<\/li>\n
        <\/p>\n
        Accro\u00eetre la confiance des clients, partenaires et prospects gr\u00e2ce \u00e0 la transparence<\/li>\n
        <\/p>\n
        Conforter et renforcer l\u2019image de marque du cabinet<\/li>\n
        <\/p>\n
        Acqu\u00e9rir de nouveaux clients et de nouveaux march\u00e9s<\/li>\n
        <\/p>\n
        Remporter des appels d\u2019offre (les acheteurs publics ont l\u2019obligation de v\u00e9rifier la conformit\u00e9 RGPD des soumissionnaires \u00e0 appel d\u2019offres)<\/li>\n
        <\/p>\n
        Am\u00e9liorer l\u2019organisation interne et renforcer la confiance des collaborateurs de l\u2019organisme<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        \u00catre conforme RGPD est donc primordial.<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quel est le r\u00f4le de l\u2019expert-comptable dans l\u2019accompagnement de ses clients en mati\u00e8re de conformit\u00e9 RGPD\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        En application de l’article 155 du D\u00e9cret du 30 mars 2012 relatif \u00e0 l’exercice de l’activit\u00e9 d’expertise comptable, les experts-comptables sont tenus \u00e0 un devoir d\u2019information et de conseil \u00e0 l\u2019\u00e9gard de leurs clients ou adh\u00e9rents.<\/p>
        <\/p>
        D\u00e8s lors, dans sa qualit\u00e9 et son devoir de conseil, le r\u00f4le de l\u2019expert comptable est de veiller \u00e0 ce que ses clients respectent le RGPD, notamment \u00e0 l\u2019occasion de ses missions d\u2019audits ou de l\u2019\u00e9laboration de propositions offres d\u2019accompagnement. Pour \u00e9viter tout cas de contentieux en d\u00e9faut d’information et de conseil, les experts-comptables doivent donc \u00e0 minima informer leurs clients de leur obligation \u00e0 se mettre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Un partenariat entre la CNIL et le CSOEC a \u00e9t\u00e9 conclu en ce sens en 2020 afin notamment de diffuser une culture de la protection des donn\u00e9es personnelles aupr\u00e8s des experts-comptables, \u00e0 la fois pour la mise en conformit\u00e9 de leur propre structure mais \u00e9galement dans leur r\u00f4le de proximit\u00e9 aupr\u00e8s des entreprises.<\/p>
        <\/p>
        En effet, les experts-comptables ont une connaissance approfondie des risques li\u00e9s \u00e0 l\u2019activit\u00e9 de leurs clients et ils constituent un interlocuteur privil\u00e9gi\u00e9 pour r\u00e9pondre aux besoins de mise en conformit\u00e9 de ces derniers. Le CSOEC estime ainsi que \u00ab Les experts-comptables sont comp\u00e9tents en mati\u00e8re de protection des donn\u00e9es personnelles d\u00e8s lors qu\u2019ils ont d\u00e9j\u00e0 mis en place les obligations impos\u00e9es par le RGPD au sein de leurs cabinets. Ils peuvent donc proposer une mission dans laquelle ils accompagnent leurs entreprises clientes \u00e0 mettre en place le RGPD \u00bb.<\/p>
        <\/p>
        C’est dans ce contexte que l’expert-comptable est amen\u00e9 \u00e0 la fois \u00e0 alerter ses clients sur leur conformit\u00e9 RGPD et \u00e0 leur proposer des prestations de service relatives \u00e0 la mise en conformit\u00e9 RGPD.<\/p>
        <\/p>"}},{"@type":"Question","name":"Qu\u2019implique la mise en conformit\u00e9 au RGPD pour le cabinet d\u2019expertise comptable ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>\n
        Le processus de mise en conformit\u00e9 au RGPD implique de respecter la mise en \u0153uvre de plusieurs mesures, notamment :<\/p>\n
        <\/p>\n
        <\/p>\n
        Constituer un registre des traitements des donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Il permet au cabinet d\u2019avoir une vision d\u2019ensemble sur les traitements de donn\u00e9es qu\u2019il r\u00e9alise. Le registre requiert de proc\u00e9der \u00e0 une identification des activit\u00e9s principales du cabinet ayant recours au traitement de donn\u00e9es personnelles, c\u2019est ce qu\u2019on appelle les traitements. L’expert-comptable responsable de traitement ou le sous-traitant doit ainsi proc\u00e9der \u00e0 la cr\u00e9ation d\u2019une fiche pour chaque traitement recens\u00e9, en indiquant notamment sa finalit\u00e9, c\u2019est-\u00e0-dire l\u2019objectif en vue duquel les donn\u00e9es sont trait\u00e9es par le cabinet.<\/p>\n
        <\/p>\n
        Enfin, le registre doit \u00eatre mis \u00e0 jour r\u00e9guli\u00e8rement car les cabinets peuvent \u00eatre amen\u00e9s \u00e0 changer de logiciels, \u00e0 faire \u00e9voluer leur organisation interne ou \u00e0 changer de sous-traitants. La protection des donn\u00e9es doit donc \u00eatre continue.<\/p>\n
        <\/p>\n
        A noter : Il est vivement conseill\u00e9 de confier la tenue du registre de traitements au d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es (DPD) \/ data protection officer (DPO) qui se chargera de sa mise \u00e0 jour r\u00e9guli\u00e8rement.<\/em><\/p>\n
        <\/p>\n
        <\/p>\n
        Trier les donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le cabinet doit se limiter \u00e0 la collecte des donn\u00e9es strictement n\u00e9cessaires au traitement. C\u2019est le principe de minimisation des donn\u00e9es. Ainsi, les donn\u00e9es ne doivent \u00eatre trait\u00e9es que si :<\/p>\n
        <\/p>\n
        <\/p>\n
        elles sont n\u00e9cessaires \u00e0 l\u2019activit\u00e9 de l\u2019organisme ;<\/li>\n
        <\/p>\n
        il ne s\u2019agit pas de donn\u00e9es dites \u00ab sensibles \u00bb, dans le cas contraire il convient de s\u2019assurer que le cabinet a bien le droit de les traiter ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont accessibles uniquement aux personnes habilit\u00e9es ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont conserv\u00e9es uniquement le temps n\u00e9cessaire et\/ou r\u00e8glementaire ;<\/li>\n
        <\/p>\n
        Respecter les droits des personnes. <\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le RGPD a pour objectif de renforcer la protection des donn\u00e9es des personnes. C\u2019est pourquoi il est venu conf\u00e9rer \u00e0 ces derni\u00e8res un certain nombre de droits, notamment le droit d\u2019acc\u00e8s, de rectification, d\u2019opposition, d\u2019effacement, le droit \u00e0 la limitation du traitement, \u00e0 la portabilit\u00e9. C\u2019est au responsable de traitement qu\u2019il appartient de mettre en place les mesures visant \u00e0 faire respecter ces droits.<\/p>\n
        <\/p>\n
        <\/p>\n
        S\u00e9curiser les donn\u00e9es personnelles<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le responsable de traitement doit prendre les mesures n\u00e9cessaires afin de garantir la s\u00e9curisation des donn\u00e9es personnelles en r\u00e9duisant les risques de violations de donn\u00e9es en respectant notamment les principes suivants :<\/p>\n
        <\/p>\n
        <\/p>\n
        Le principe de confidentialit\u00e9 : les donn\u00e9es doivent \u00eatre accessibles aux seules personnes autoris\u00e9es<\/li>\n
        <\/p>\n
        Le principe d\u2019int\u00e9grit\u00e9 : les donn\u00e9es ne doivent pas \u00eatre alt\u00e9r\u00e9es ou modifi\u00e9es<\/li>\n
        <\/p>\n
        Le principe de disponibilit\u00e9 : les donn\u00e9es doivent \u00eatre en permanence accessibles aux personnes autoris\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Si un organisme subi une violation de donn\u00e9es, il doit proc\u00e9der \u00e0 un signalement \u00e0 la CNIL dans les 72 heures suivant la violation, si celle-ci est susceptible de repr\u00e9senter un risque pour les droits et libert\u00e9s des personnes concern\u00e9es.<\/p>\n
        <\/p>\n
        <\/p>\n
        Respecter le principe d\u2019accountability<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Ce principe d\u00e9signe l\u2019obligation pour les cabinets de mettre en \u0153uvre des m\u00e9canismes et des proc\u00e9dures internes permettant de d\u00e9montrer le respect des r\u00e8gles relatives \u00e0 la protection des donn\u00e9es.<\/p>\n
        <\/p>\n
        En cas de contr\u00f4le de la CNIL, la cabinet doit donc \u00eatre en mesure de d\u00e9montrer sa conformit\u00e9 au RGPD et les mesures prises \u00e0 cet effet.<\/p>\n
        <\/p>\n
        <\/p>\n
        R\u00e9vision des pratiques, contrats et lettre de mission rgpd expert-comptable<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Dans le cadre du processus de mise en conformit\u00e9, il est \u00e9galement n\u00e9cessaire de modifier tous les contrats de prestation et les lettres de mission du cabinet. L\u2019Ordre des experts comptables recommande en ce sens de revoir les contrats clients en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>\n
        <\/p>\n
        \u00c9galement, il est d\u00e9sormais exclu de communiquer des bulletins de paie par email. Il convient dor\u00e9navant d\u2019utiliser une plateforme<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quelles sont les nouvelles responsabilit\u00e9s qu\u2019implique le RGPD pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Au-del\u00e0 des responsabilit\u00e9s inh\u00e9rentes \u00e0 la qualit\u00e9 de responsable de traitement, le RGPD implique de nouvelles responsabilit\u00e9s pour les experts-comptables. Tout d\u2019abord, ils voient leur responsabilit\u00e9 renforc\u00e9e en mati\u00e8re de devoir d\u2019information et de conseil, du fait de leur devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit offrir \u00e0 ses clients \u00ab des garanties suffisantes quant \u00e0 la mise en \u0153uvre de mesures techniques et organisationnelles appropri\u00e9es de mani\u00e8re \u00e0 ce que le traitement r\u00e9ponde aux exigences du pr\u00e9sent r\u00e8glement et garantisse la protection des droits de la personne concern\u00e9e \u00bb (Art.28 RGPD).<\/p>
        <\/p>
        Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        <\/p>\n
        Si pour chacune de ces questions, la r\u00e9ponse est le cabinet d\u2019expertise comptable, alors celui-ci est responsable du traitement.<\/p>\n
        <\/p>\n
        La responsabilit\u00e9 du cabinet et son obligation d\u2019information diff\u00e8rent en fonction de la qualification. Le CSOEC pr\u00e9conise d\u2019ailleurs \u00e0 ce sujet que l\u2019obligation d\u2019information des personnes physiques soit assum\u00e9e par le client lorsque le cabinet est co-responsable du traitement.<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quels sont les risques en cas de non-conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Depuis le 25 mai 2018, tout organisme qui ne respecte pas ses obligations en mati\u00e8re de protection des donn\u00e9es personnelles (RGPD et Loi Informatique et Libert\u00e9s) s\u2019expose \u00e0 des sanctions administratives et p\u00e9nales.<\/p>
        <\/p>
        A l’issue de contr\u00f4le ou de plaintes, en cas de m\u00e9connaissance des dispositions du RGPD ou de la loi de la part des responsables de traitement et des sous-traitants, la CNIL peut prononcer des sanctions \u00e0 l’\u00e9gard des responsables de traitements et\/ou de leurs sous-traitants qui ne respecteraient pas ces textes.<\/p>
        <\/p>
        Lorsque des manquements au RGPD ou \u00e0 la loi sont port\u00e9s \u00e0 sa connaissance, la CNIL peut :<\/p>
        <\/p>
        Prononcer un rappel \u00e0 l\u2019ordre ;<\/li>
        Enjoindre de mettre le traitement en conformit\u00e9, y compris sous astreinte ;<\/li>
        Limiter temporairement ou d\u00e9finitivement un traitement ;<\/li>
        Suspendre les flux de donn\u00e9es ;<\/li>
        Ordonner de satisfaire aux demandes d’exercice des droits des personnes, y compris sous astreinte ;<\/li>
        Prononcer une amende administrative qui peut \u00eatre rendue publique et dont le montant peut s\u2019\u00e9lever :<\/li>
        Jusqu\u2019\u00e0 2 % du chiffre d\u2019affaires mondial de l\u2019entreprise pour des manquements tels que l\u2019absence de registre de traitements, le d\u00e9faut d\u2019annonce suite \u00e0 une faille d\u00e9cel\u00e9e, le d\u00e9faut d\u2019\u00e9tude d\u2019impact sur la vie priv\u00e9e (en cas de donn\u00e9es sensibles), etc.<\/li>
        Jusqu\u2019\u00e0 4 % du chiffre d\u2019affaires mondial notamment en cas de refus d\u2019obtemp\u00e9rer aux injonctions de la CNIL, de traitements de donn\u00e9es ill\u00e9gaux, de d\u00e9faut de consentement, de non-respect des droits des personnes, etc.<\/li><\/ul>
        <\/p>
        \u00c9galement, toute personne concern\u00e9e par une violation de ses donn\u00e9es personnelles par le responsable de traitement et\/ou son sous-traitant, et ayant subi un dommage mat\u00e9riel ou moral du fait de cette violation, peut obtenir r\u00e9paration de son pr\u00e9judice notamment sous la forme de dommages et int\u00e9r\u00eats. En cas de contr\u00f4le de la CNIL, vous devez \u00eatre en mesure de garantir la protection des donn\u00e9es personnelles et de d\u00e9montrer les mesures prises \u00e0 cet effet.<\/p>
        <\/p>"}},{"@type":"Question","name":"Pourquoi se mettre en conformit\u00e9 au RGPD\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>\n
        Il est n\u00e9cessaire de se mettre en conformit\u00e9 au RGPD et ce pour plusieurs raisons.<\/p>\n
        <\/p>\n
        Tout d\u2019abord, il s\u2019agit d\u2019une obligation impos\u00e9e \u00e0 tout organisme, public ou priv\u00e9, traitant des donn\u00e9es personnelles d\u00e8s lors que celui-ci est \u00e9tabli sur le territoire de l\u2019Union europ\u00e9enne ou que son activit\u00e9 cible directement des r\u00e9sidents europ\u00e9ens.<\/p>\n
        <\/p>\n
        Ensuite, les organisations non conformes au RGPD s\u2019exposent \u00e0 de forts risques de sanctions dont notamment des amendes administratives pouvant s\u2019\u00e9lever \u00e0 hauteur de 2 ou 4% du chiffre d’affaires annuel mondial de l\u2019entreprise.<\/p>\n
        <\/p>\n
        Enfin, au-del\u00e0 d\u2019\u00eatre une obligation l\u00e9gale et r\u00e8glementaire et de constituer un risque accru de sanction, le RGPD est une v\u00e9ritable opportunit\u00e9 puisqu\u2019il permet de :<\/p>\n
        <\/p>\n
        <\/p>\n
        Valoriser la data en exploitant les donn\u00e9es de mani\u00e8re l\u00e9gale et qualitative<\/li>\n
        <\/p>\n
        Accro\u00eetre la confiance des clients, partenaires et prospects gr\u00e2ce \u00e0 la transparence<\/li>\n
        <\/p>\n
        Conforter et renforcer l\u2019image de marque du cabinet<\/li>\n
        <\/p>\n
        Acqu\u00e9rir de nouveaux clients et de nouveaux march\u00e9s<\/li>\n
        <\/p>\n
        Remporter des appels d\u2019offre (les acheteurs publics ont l\u2019obligation de v\u00e9rifier la conformit\u00e9 RGPD des soumissionnaires \u00e0 appel d\u2019offres)<\/li>\n
        <\/p>\n
        Am\u00e9liorer l\u2019organisation interne et renforcer la confiance des collaborateurs de l\u2019organisme<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        \u00catre conforme RGPD est donc primordial.<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quel est le r\u00f4le de l\u2019expert-comptable dans l\u2019accompagnement de ses clients en mati\u00e8re de conformit\u00e9 RGPD\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        En application de l’article 155 du D\u00e9cret du 30 mars 2012 relatif \u00e0 l’exercice de l’activit\u00e9 d’expertise comptable, les experts-comptables sont tenus \u00e0 un devoir d\u2019information et de conseil \u00e0 l\u2019\u00e9gard de leurs clients ou adh\u00e9rents.<\/p>
        <\/p>
        D\u00e8s lors, dans sa qualit\u00e9 et son devoir de conseil, le r\u00f4le de l\u2019expert comptable est de veiller \u00e0 ce que ses clients respectent le RGPD, notamment \u00e0 l\u2019occasion de ses missions d\u2019audits ou de l\u2019\u00e9laboration de propositions offres d\u2019accompagnement. Pour \u00e9viter tout cas de contentieux en d\u00e9faut d’information et de conseil, les experts-comptables doivent donc \u00e0 minima informer leurs clients de leur obligation \u00e0 se mettre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Un partenariat entre la CNIL et le CSOEC a \u00e9t\u00e9 conclu en ce sens en 2020 afin notamment de diffuser une culture de la protection des donn\u00e9es personnelles aupr\u00e8s des experts-comptables, \u00e0 la fois pour la mise en conformit\u00e9 de leur propre structure mais \u00e9galement dans leur r\u00f4le de proximit\u00e9 aupr\u00e8s des entreprises.<\/p>
        <\/p>
        En effet, les experts-comptables ont une connaissance approfondie des risques li\u00e9s \u00e0 l\u2019activit\u00e9 de leurs clients et ils constituent un interlocuteur privil\u00e9gi\u00e9 pour r\u00e9pondre aux besoins de mise en conformit\u00e9 de ces derniers. Le CSOEC estime ainsi que \u00ab Les experts-comptables sont comp\u00e9tents en mati\u00e8re de protection des donn\u00e9es personnelles d\u00e8s lors qu\u2019ils ont d\u00e9j\u00e0 mis en place les obligations impos\u00e9es par le RGPD au sein de leurs cabinets. Ils peuvent donc proposer une mission dans laquelle ils accompagnent leurs entreprises clientes \u00e0 mettre en place le RGPD \u00bb.<\/p>
        <\/p>
        C’est dans ce contexte que l’expert-comptable est amen\u00e9 \u00e0 la fois \u00e0 alerter ses clients sur leur conformit\u00e9 RGPD et \u00e0 leur proposer des prestations de service relatives \u00e0 la mise en conformit\u00e9 RGPD.<\/p>
        <\/p>"}},{"@type":"Question","name":"Qu\u2019implique la mise en conformit\u00e9 au RGPD pour le cabinet d\u2019expertise comptable ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>\n
        Le processus de mise en conformit\u00e9 au RGPD implique de respecter la mise en \u0153uvre de plusieurs mesures, notamment :<\/p>\n
        <\/p>\n
        <\/p>\n
        Constituer un registre des traitements des donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Il permet au cabinet d\u2019avoir une vision d\u2019ensemble sur les traitements de donn\u00e9es qu\u2019il r\u00e9alise. Le registre requiert de proc\u00e9der \u00e0 une identification des activit\u00e9s principales du cabinet ayant recours au traitement de donn\u00e9es personnelles, c\u2019est ce qu\u2019on appelle les traitements. L’expert-comptable responsable de traitement ou le sous-traitant doit ainsi proc\u00e9der \u00e0 la cr\u00e9ation d\u2019une fiche pour chaque traitement recens\u00e9, en indiquant notamment sa finalit\u00e9, c\u2019est-\u00e0-dire l\u2019objectif en vue duquel les donn\u00e9es sont trait\u00e9es par le cabinet.<\/p>\n
        <\/p>\n
        Enfin, le registre doit \u00eatre mis \u00e0 jour r\u00e9guli\u00e8rement car les cabinets peuvent \u00eatre amen\u00e9s \u00e0 changer de logiciels, \u00e0 faire \u00e9voluer leur organisation interne ou \u00e0 changer de sous-traitants. La protection des donn\u00e9es doit donc \u00eatre continue.<\/p>\n
        <\/p>\n
        A noter : Il est vivement conseill\u00e9 de confier la tenue du registre de traitements au d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es (DPD) \/ data protection officer (DPO) qui se chargera de sa mise \u00e0 jour r\u00e9guli\u00e8rement.<\/em><\/p>\n
        <\/p>\n
        <\/p>\n
        Trier les donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le cabinet doit se limiter \u00e0 la collecte des donn\u00e9es strictement n\u00e9cessaires au traitement. C\u2019est le principe de minimisation des donn\u00e9es. Ainsi, les donn\u00e9es ne doivent \u00eatre trait\u00e9es que si :<\/p>\n
        <\/p>\n
        <\/p>\n
        elles sont n\u00e9cessaires \u00e0 l\u2019activit\u00e9 de l\u2019organisme ;<\/li>\n
        <\/p>\n
        il ne s\u2019agit pas de donn\u00e9es dites \u00ab sensibles \u00bb, dans le cas contraire il convient de s\u2019assurer que le cabinet a bien le droit de les traiter ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont accessibles uniquement aux personnes habilit\u00e9es ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont conserv\u00e9es uniquement le temps n\u00e9cessaire et\/ou r\u00e8glementaire ;<\/li>\n
        <\/p>\n
        Respecter les droits des personnes. <\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le RGPD a pour objectif de renforcer la protection des donn\u00e9es des personnes. C\u2019est pourquoi il est venu conf\u00e9rer \u00e0 ces derni\u00e8res un certain nombre de droits, notamment le droit d\u2019acc\u00e8s, de rectification, d\u2019opposition, d\u2019effacement, le droit \u00e0 la limitation du traitement, \u00e0 la portabilit\u00e9. C\u2019est au responsable de traitement qu\u2019il appartient de mettre en place les mesures visant \u00e0 faire respecter ces droits.<\/p>\n
        <\/p>\n
        <\/p>\n
        S\u00e9curiser les donn\u00e9es personnelles<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le responsable de traitement doit prendre les mesures n\u00e9cessaires afin de garantir la s\u00e9curisation des donn\u00e9es personnelles en r\u00e9duisant les risques de violations de donn\u00e9es en respectant notamment les principes suivants :<\/p>\n
        <\/p>\n
        <\/p>\n
        Le principe de confidentialit\u00e9 : les donn\u00e9es doivent \u00eatre accessibles aux seules personnes autoris\u00e9es<\/li>\n
        <\/p>\n
        Le principe d\u2019int\u00e9grit\u00e9 : les donn\u00e9es ne doivent pas \u00eatre alt\u00e9r\u00e9es ou modifi\u00e9es<\/li>\n
        <\/p>\n
        Le principe de disponibilit\u00e9 : les donn\u00e9es doivent \u00eatre en permanence accessibles aux personnes autoris\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Si un organisme subi une violation de donn\u00e9es, il doit proc\u00e9der \u00e0 un signalement \u00e0 la CNIL dans les 72 heures suivant la violation, si celle-ci est susceptible de repr\u00e9senter un risque pour les droits et libert\u00e9s des personnes concern\u00e9es.<\/p>\n
        <\/p>\n
        <\/p>\n
        Respecter le principe d\u2019accountability<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Ce principe d\u00e9signe l\u2019obligation pour les cabinets de mettre en \u0153uvre des m\u00e9canismes et des proc\u00e9dures internes permettant de d\u00e9montrer le respect des r\u00e8gles relatives \u00e0 la protection des donn\u00e9es.<\/p>\n
        <\/p>\n
        En cas de contr\u00f4le de la CNIL, la cabinet doit donc \u00eatre en mesure de d\u00e9montrer sa conformit\u00e9 au RGPD et les mesures prises \u00e0 cet effet.<\/p>\n
        <\/p>\n
        <\/p>\n
        R\u00e9vision des pratiques, contrats et lettre de mission rgpd expert-comptable<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Dans le cadre du processus de mise en conformit\u00e9, il est \u00e9galement n\u00e9cessaire de modifier tous les contrats de prestation et les lettres de mission du cabinet. L\u2019Ordre des experts comptables recommande en ce sens de revoir les contrats clients en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>\n
        <\/p>\n
        \u00c9galement, il est d\u00e9sormais exclu de communiquer des bulletins de paie par email. Il convient dor\u00e9navant d\u2019utiliser une plateforme<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quelles sont les nouvelles responsabilit\u00e9s qu\u2019implique le RGPD pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Au-del\u00e0 des responsabilit\u00e9s inh\u00e9rentes \u00e0 la qualit\u00e9 de responsable de traitement, le RGPD implique de nouvelles responsabilit\u00e9s pour les experts-comptables. Tout d\u2019abord, ils voient leur responsabilit\u00e9 renforc\u00e9e en mati\u00e8re de devoir d\u2019information et de conseil, du fait de leur devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit offrir \u00e0 ses clients \u00ab des garanties suffisantes quant \u00e0 la mise en \u0153uvre de mesures techniques et organisationnelles appropri\u00e9es de mani\u00e8re \u00e0 ce que le traitement r\u00e9ponde aux exigences du pr\u00e9sent r\u00e8glement et garantisse la protection des droits de la personne concern\u00e9e \u00bb (Art.28 RGPD).<\/p>
        <\/p>
        Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        \n
        Qui d\u00e9termine les moyens essentiels du traitement ?<\/li>\n<\/ul>\n
        <\/p>\n
        Si pour chacune de ces questions, la r\u00e9ponse est le cabinet d\u2019expertise comptable, alors celui-ci est responsable du traitement.<\/p>\n
        <\/p>\n
        La responsabilit\u00e9 du cabinet et son obligation d\u2019information diff\u00e8rent en fonction de la qualification. Le CSOEC pr\u00e9conise d\u2019ailleurs \u00e0 ce sujet que l\u2019obligation d\u2019information des personnes physiques soit assum\u00e9e par le client lorsque le cabinet est co-responsable du traitement.<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quels sont les risques en cas de non-conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Depuis le 25 mai 2018, tout organisme qui ne respecte pas ses obligations en mati\u00e8re de protection des donn\u00e9es personnelles (RGPD et Loi Informatique et Libert\u00e9s) s\u2019expose \u00e0 des sanctions administratives et p\u00e9nales.<\/p>
        <\/p>
        A l’issue de contr\u00f4le ou de plaintes, en cas de m\u00e9connaissance des dispositions du RGPD ou de la loi de la part des responsables de traitement et des sous-traitants, la CNIL peut prononcer des sanctions \u00e0 l’\u00e9gard des responsables de traitements et\/ou de leurs sous-traitants qui ne respecteraient pas ces textes.<\/p>
        <\/p>
        Lorsque des manquements au RGPD ou \u00e0 la loi sont port\u00e9s \u00e0 sa connaissance, la CNIL peut :<\/p>
        <\/p>
        Prononcer un rappel \u00e0 l\u2019ordre ;<\/li>
        Enjoindre de mettre le traitement en conformit\u00e9, y compris sous astreinte ;<\/li>
        Limiter temporairement ou d\u00e9finitivement un traitement ;<\/li>
        Suspendre les flux de donn\u00e9es ;<\/li>
        Ordonner de satisfaire aux demandes d’exercice des droits des personnes, y compris sous astreinte ;<\/li>
        Prononcer une amende administrative qui peut \u00eatre rendue publique et dont le montant peut s\u2019\u00e9lever :<\/li>
        Jusqu\u2019\u00e0 2 % du chiffre d\u2019affaires mondial de l\u2019entreprise pour des manquements tels que l\u2019absence de registre de traitements, le d\u00e9faut d\u2019annonce suite \u00e0 une faille d\u00e9cel\u00e9e, le d\u00e9faut d\u2019\u00e9tude d\u2019impact sur la vie priv\u00e9e (en cas de donn\u00e9es sensibles), etc.<\/li>
        Jusqu\u2019\u00e0 4 % du chiffre d\u2019affaires mondial notamment en cas de refus d\u2019obtemp\u00e9rer aux injonctions de la CNIL, de traitements de donn\u00e9es ill\u00e9gaux, de d\u00e9faut de consentement, de non-respect des droits des personnes, etc.<\/li><\/ul>
        <\/p>
        \u00c9galement, toute personne concern\u00e9e par une violation de ses donn\u00e9es personnelles par le responsable de traitement et\/ou son sous-traitant, et ayant subi un dommage mat\u00e9riel ou moral du fait de cette violation, peut obtenir r\u00e9paration de son pr\u00e9judice notamment sous la forme de dommages et int\u00e9r\u00eats. En cas de contr\u00f4le de la CNIL, vous devez \u00eatre en mesure de garantir la protection des donn\u00e9es personnelles et de d\u00e9montrer les mesures prises \u00e0 cet effet.<\/p>
        <\/p>"}},{"@type":"Question","name":"Pourquoi se mettre en conformit\u00e9 au RGPD\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>\n
        Il est n\u00e9cessaire de se mettre en conformit\u00e9 au RGPD et ce pour plusieurs raisons.<\/p>\n
        <\/p>\n
        Tout d\u2019abord, il s\u2019agit d\u2019une obligation impos\u00e9e \u00e0 tout organisme, public ou priv\u00e9, traitant des donn\u00e9es personnelles d\u00e8s lors que celui-ci est \u00e9tabli sur le territoire de l\u2019Union europ\u00e9enne ou que son activit\u00e9 cible directement des r\u00e9sidents europ\u00e9ens.<\/p>\n
        <\/p>\n
        Ensuite, les organisations non conformes au RGPD s\u2019exposent \u00e0 de forts risques de sanctions dont notamment des amendes administratives pouvant s\u2019\u00e9lever \u00e0 hauteur de 2 ou 4% du chiffre d’affaires annuel mondial de l\u2019entreprise.<\/p>\n
        <\/p>\n
        Enfin, au-del\u00e0 d\u2019\u00eatre une obligation l\u00e9gale et r\u00e8glementaire et de constituer un risque accru de sanction, le RGPD est une v\u00e9ritable opportunit\u00e9 puisqu\u2019il permet de :<\/p>\n
        <\/p>\n
        <\/p>\n
        Valoriser la data en exploitant les donn\u00e9es de mani\u00e8re l\u00e9gale et qualitative<\/li>\n
        <\/p>\n
        Accro\u00eetre la confiance des clients, partenaires et prospects gr\u00e2ce \u00e0 la transparence<\/li>\n
        <\/p>\n
        Conforter et renforcer l\u2019image de marque du cabinet<\/li>\n
        <\/p>\n
        Acqu\u00e9rir de nouveaux clients et de nouveaux march\u00e9s<\/li>\n
        <\/p>\n
        Remporter des appels d\u2019offre (les acheteurs publics ont l\u2019obligation de v\u00e9rifier la conformit\u00e9 RGPD des soumissionnaires \u00e0 appel d\u2019offres)<\/li>\n
        <\/p>\n
        Am\u00e9liorer l\u2019organisation interne et renforcer la confiance des collaborateurs de l\u2019organisme<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        \u00catre conforme RGPD est donc primordial.<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quel est le r\u00f4le de l\u2019expert-comptable dans l\u2019accompagnement de ses clients en mati\u00e8re de conformit\u00e9 RGPD\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        En application de l’article 155 du D\u00e9cret du 30 mars 2012 relatif \u00e0 l’exercice de l’activit\u00e9 d’expertise comptable, les experts-comptables sont tenus \u00e0 un devoir d\u2019information et de conseil \u00e0 l\u2019\u00e9gard de leurs clients ou adh\u00e9rents.<\/p>
        <\/p>
        D\u00e8s lors, dans sa qualit\u00e9 et son devoir de conseil, le r\u00f4le de l\u2019expert comptable est de veiller \u00e0 ce que ses clients respectent le RGPD, notamment \u00e0 l\u2019occasion de ses missions d\u2019audits ou de l\u2019\u00e9laboration de propositions offres d\u2019accompagnement. Pour \u00e9viter tout cas de contentieux en d\u00e9faut d’information et de conseil, les experts-comptables doivent donc \u00e0 minima informer leurs clients de leur obligation \u00e0 se mettre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Un partenariat entre la CNIL et le CSOEC a \u00e9t\u00e9 conclu en ce sens en 2020 afin notamment de diffuser une culture de la protection des donn\u00e9es personnelles aupr\u00e8s des experts-comptables, \u00e0 la fois pour la mise en conformit\u00e9 de leur propre structure mais \u00e9galement dans leur r\u00f4le de proximit\u00e9 aupr\u00e8s des entreprises.<\/p>
        <\/p>
        En effet, les experts-comptables ont une connaissance approfondie des risques li\u00e9s \u00e0 l\u2019activit\u00e9 de leurs clients et ils constituent un interlocuteur privil\u00e9gi\u00e9 pour r\u00e9pondre aux besoins de mise en conformit\u00e9 de ces derniers. Le CSOEC estime ainsi que \u00ab Les experts-comptables sont comp\u00e9tents en mati\u00e8re de protection des donn\u00e9es personnelles d\u00e8s lors qu\u2019ils ont d\u00e9j\u00e0 mis en place les obligations impos\u00e9es par le RGPD au sein de leurs cabinets. Ils peuvent donc proposer une mission dans laquelle ils accompagnent leurs entreprises clientes \u00e0 mettre en place le RGPD \u00bb.<\/p>
        <\/p>
        C’est dans ce contexte que l’expert-comptable est amen\u00e9 \u00e0 la fois \u00e0 alerter ses clients sur leur conformit\u00e9 RGPD et \u00e0 leur proposer des prestations de service relatives \u00e0 la mise en conformit\u00e9 RGPD.<\/p>
        <\/p>"}},{"@type":"Question","name":"Qu\u2019implique la mise en conformit\u00e9 au RGPD pour le cabinet d\u2019expertise comptable ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>\n
        Le processus de mise en conformit\u00e9 au RGPD implique de respecter la mise en \u0153uvre de plusieurs mesures, notamment :<\/p>\n
        <\/p>\n
        <\/p>\n
        Constituer un registre des traitements des donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Il permet au cabinet d\u2019avoir une vision d\u2019ensemble sur les traitements de donn\u00e9es qu\u2019il r\u00e9alise. Le registre requiert de proc\u00e9der \u00e0 une identification des activit\u00e9s principales du cabinet ayant recours au traitement de donn\u00e9es personnelles, c\u2019est ce qu\u2019on appelle les traitements. L’expert-comptable responsable de traitement ou le sous-traitant doit ainsi proc\u00e9der \u00e0 la cr\u00e9ation d\u2019une fiche pour chaque traitement recens\u00e9, en indiquant notamment sa finalit\u00e9, c\u2019est-\u00e0-dire l\u2019objectif en vue duquel les donn\u00e9es sont trait\u00e9es par le cabinet.<\/p>\n
        <\/p>\n
        Enfin, le registre doit \u00eatre mis \u00e0 jour r\u00e9guli\u00e8rement car les cabinets peuvent \u00eatre amen\u00e9s \u00e0 changer de logiciels, \u00e0 faire \u00e9voluer leur organisation interne ou \u00e0 changer de sous-traitants. La protection des donn\u00e9es doit donc \u00eatre continue.<\/p>\n
        <\/p>\n
        A noter : Il est vivement conseill\u00e9 de confier la tenue du registre de traitements au d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es (DPD) \/ data protection officer (DPO) qui se chargera de sa mise \u00e0 jour r\u00e9guli\u00e8rement.<\/em><\/p>\n
        <\/p>\n
        <\/p>\n
        Trier les donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le cabinet doit se limiter \u00e0 la collecte des donn\u00e9es strictement n\u00e9cessaires au traitement. C\u2019est le principe de minimisation des donn\u00e9es. Ainsi, les donn\u00e9es ne doivent \u00eatre trait\u00e9es que si :<\/p>\n
        <\/p>\n
        <\/p>\n
        elles sont n\u00e9cessaires \u00e0 l\u2019activit\u00e9 de l\u2019organisme ;<\/li>\n
        <\/p>\n
        il ne s\u2019agit pas de donn\u00e9es dites \u00ab sensibles \u00bb, dans le cas contraire il convient de s\u2019assurer que le cabinet a bien le droit de les traiter ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont accessibles uniquement aux personnes habilit\u00e9es ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont conserv\u00e9es uniquement le temps n\u00e9cessaire et\/ou r\u00e8glementaire ;<\/li>\n
        <\/p>\n
        Respecter les droits des personnes. <\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le RGPD a pour objectif de renforcer la protection des donn\u00e9es des personnes. C\u2019est pourquoi il est venu conf\u00e9rer \u00e0 ces derni\u00e8res un certain nombre de droits, notamment le droit d\u2019acc\u00e8s, de rectification, d\u2019opposition, d\u2019effacement, le droit \u00e0 la limitation du traitement, \u00e0 la portabilit\u00e9. C\u2019est au responsable de traitement qu\u2019il appartient de mettre en place les mesures visant \u00e0 faire respecter ces droits.<\/p>\n
        <\/p>\n
        <\/p>\n
        S\u00e9curiser les donn\u00e9es personnelles<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le responsable de traitement doit prendre les mesures n\u00e9cessaires afin de garantir la s\u00e9curisation des donn\u00e9es personnelles en r\u00e9duisant les risques de violations de donn\u00e9es en respectant notamment les principes suivants :<\/p>\n
        <\/p>\n
        <\/p>\n
        Le principe de confidentialit\u00e9 : les donn\u00e9es doivent \u00eatre accessibles aux seules personnes autoris\u00e9es<\/li>\n
        <\/p>\n
        Le principe d\u2019int\u00e9grit\u00e9 : les donn\u00e9es ne doivent pas \u00eatre alt\u00e9r\u00e9es ou modifi\u00e9es<\/li>\n
        <\/p>\n
        Le principe de disponibilit\u00e9 : les donn\u00e9es doivent \u00eatre en permanence accessibles aux personnes autoris\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Si un organisme subi une violation de donn\u00e9es, il doit proc\u00e9der \u00e0 un signalement \u00e0 la CNIL dans les 72 heures suivant la violation, si celle-ci est susceptible de repr\u00e9senter un risque pour les droits et libert\u00e9s des personnes concern\u00e9es.<\/p>\n
        <\/p>\n
        <\/p>\n
        Respecter le principe d\u2019accountability<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Ce principe d\u00e9signe l\u2019obligation pour les cabinets de mettre en \u0153uvre des m\u00e9canismes et des proc\u00e9dures internes permettant de d\u00e9montrer le respect des r\u00e8gles relatives \u00e0 la protection des donn\u00e9es.<\/p>\n
        <\/p>\n
        En cas de contr\u00f4le de la CNIL, la cabinet doit donc \u00eatre en mesure de d\u00e9montrer sa conformit\u00e9 au RGPD et les mesures prises \u00e0 cet effet.<\/p>\n
        <\/p>\n
        <\/p>\n
        R\u00e9vision des pratiques, contrats et lettre de mission rgpd expert-comptable<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Dans le cadre du processus de mise en conformit\u00e9, il est \u00e9galement n\u00e9cessaire de modifier tous les contrats de prestation et les lettres de mission du cabinet. L\u2019Ordre des experts comptables recommande en ce sens de revoir les contrats clients en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>\n
        <\/p>\n
        \u00c9galement, il est d\u00e9sormais exclu de communiquer des bulletins de paie par email. Il convient dor\u00e9navant d\u2019utiliser une plateforme<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quelles sont les nouvelles responsabilit\u00e9s qu\u2019implique le RGPD pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Au-del\u00e0 des responsabilit\u00e9s inh\u00e9rentes \u00e0 la qualit\u00e9 de responsable de traitement, le RGPD implique de nouvelles responsabilit\u00e9s pour les experts-comptables. Tout d\u2019abord, ils voient leur responsabilit\u00e9 renforc\u00e9e en mati\u00e8re de devoir d\u2019information et de conseil, du fait de leur devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit offrir \u00e0 ses clients \u00ab des garanties suffisantes quant \u00e0 la mise en \u0153uvre de mesures techniques et organisationnelles appropri\u00e9es de mani\u00e8re \u00e0 ce que le traitement r\u00e9ponde aux exigences du pr\u00e9sent r\u00e8glement et garantisse la protection des droits de la personne concern\u00e9e \u00bb (Art.28 RGPD).<\/p>
        <\/p>
        Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        \n
        Qui dispose du contr\u00f4le sur le traitement des donn\u00e9es personnelles ?<\/li>\n\n
        Qui d\u00e9termine les moyens essentiels du traitement ?<\/li>\n<\/ul>\n
        <\/p>\n
        Si pour chacune de ces questions, la r\u00e9ponse est le cabinet d\u2019expertise comptable, alors celui-ci est responsable du traitement.<\/p>\n
        <\/p>\n
        La responsabilit\u00e9 du cabinet et son obligation d\u2019information diff\u00e8rent en fonction de la qualification. Le CSOEC pr\u00e9conise d\u2019ailleurs \u00e0 ce sujet que l\u2019obligation d\u2019information des personnes physiques soit assum\u00e9e par le client lorsque le cabinet est co-responsable du traitement.<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quels sont les risques en cas de non-conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Depuis le 25 mai 2018, tout organisme qui ne respecte pas ses obligations en mati\u00e8re de protection des donn\u00e9es personnelles (RGPD et Loi Informatique et Libert\u00e9s) s\u2019expose \u00e0 des sanctions administratives et p\u00e9nales.<\/p>
        <\/p>
        A l’issue de contr\u00f4le ou de plaintes, en cas de m\u00e9connaissance des dispositions du RGPD ou de la loi de la part des responsables de traitement et des sous-traitants, la CNIL peut prononcer des sanctions \u00e0 l’\u00e9gard des responsables de traitements et\/ou de leurs sous-traitants qui ne respecteraient pas ces textes.<\/p>
        <\/p>
        Lorsque des manquements au RGPD ou \u00e0 la loi sont port\u00e9s \u00e0 sa connaissance, la CNIL peut :<\/p>
        <\/p>
        Prononcer un rappel \u00e0 l\u2019ordre ;<\/li>
        Enjoindre de mettre le traitement en conformit\u00e9, y compris sous astreinte ;<\/li>
        Limiter temporairement ou d\u00e9finitivement un traitement ;<\/li>
        Suspendre les flux de donn\u00e9es ;<\/li>
        Ordonner de satisfaire aux demandes d’exercice des droits des personnes, y compris sous astreinte ;<\/li>
        Prononcer une amende administrative qui peut \u00eatre rendue publique et dont le montant peut s\u2019\u00e9lever :<\/li>
        Jusqu\u2019\u00e0 2 % du chiffre d\u2019affaires mondial de l\u2019entreprise pour des manquements tels que l\u2019absence de registre de traitements, le d\u00e9faut d\u2019annonce suite \u00e0 une faille d\u00e9cel\u00e9e, le d\u00e9faut d\u2019\u00e9tude d\u2019impact sur la vie priv\u00e9e (en cas de donn\u00e9es sensibles), etc.<\/li>
        Jusqu\u2019\u00e0 4 % du chiffre d\u2019affaires mondial notamment en cas de refus d\u2019obtemp\u00e9rer aux injonctions de la CNIL, de traitements de donn\u00e9es ill\u00e9gaux, de d\u00e9faut de consentement, de non-respect des droits des personnes, etc.<\/li><\/ul>
        <\/p>
        \u00c9galement, toute personne concern\u00e9e par une violation de ses donn\u00e9es personnelles par le responsable de traitement et\/ou son sous-traitant, et ayant subi un dommage mat\u00e9riel ou moral du fait de cette violation, peut obtenir r\u00e9paration de son pr\u00e9judice notamment sous la forme de dommages et int\u00e9r\u00eats. En cas de contr\u00f4le de la CNIL, vous devez \u00eatre en mesure de garantir la protection des donn\u00e9es personnelles et de d\u00e9montrer les mesures prises \u00e0 cet effet.<\/p>
        <\/p>"}},{"@type":"Question","name":"Pourquoi se mettre en conformit\u00e9 au RGPD\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>\n
        Il est n\u00e9cessaire de se mettre en conformit\u00e9 au RGPD et ce pour plusieurs raisons.<\/p>\n
        <\/p>\n
        Tout d\u2019abord, il s\u2019agit d\u2019une obligation impos\u00e9e \u00e0 tout organisme, public ou priv\u00e9, traitant des donn\u00e9es personnelles d\u00e8s lors que celui-ci est \u00e9tabli sur le territoire de l\u2019Union europ\u00e9enne ou que son activit\u00e9 cible directement des r\u00e9sidents europ\u00e9ens.<\/p>\n
        <\/p>\n
        Ensuite, les organisations non conformes au RGPD s\u2019exposent \u00e0 de forts risques de sanctions dont notamment des amendes administratives pouvant s\u2019\u00e9lever \u00e0 hauteur de 2 ou 4% du chiffre d’affaires annuel mondial de l\u2019entreprise.<\/p>\n
        <\/p>\n
        Enfin, au-del\u00e0 d\u2019\u00eatre une obligation l\u00e9gale et r\u00e8glementaire et de constituer un risque accru de sanction, le RGPD est une v\u00e9ritable opportunit\u00e9 puisqu\u2019il permet de :<\/p>\n
        <\/p>\n
        <\/p>\n
        Valoriser la data en exploitant les donn\u00e9es de mani\u00e8re l\u00e9gale et qualitative<\/li>\n
        <\/p>\n
        Accro\u00eetre la confiance des clients, partenaires et prospects gr\u00e2ce \u00e0 la transparence<\/li>\n
        <\/p>\n
        Conforter et renforcer l\u2019image de marque du cabinet<\/li>\n
        <\/p>\n
        Acqu\u00e9rir de nouveaux clients et de nouveaux march\u00e9s<\/li>\n
        <\/p>\n
        Remporter des appels d\u2019offre (les acheteurs publics ont l\u2019obligation de v\u00e9rifier la conformit\u00e9 RGPD des soumissionnaires \u00e0 appel d\u2019offres)<\/li>\n
        <\/p>\n
        Am\u00e9liorer l\u2019organisation interne et renforcer la confiance des collaborateurs de l\u2019organisme<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        \u00catre conforme RGPD est donc primordial.<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quel est le r\u00f4le de l\u2019expert-comptable dans l\u2019accompagnement de ses clients en mati\u00e8re de conformit\u00e9 RGPD\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        En application de l’article 155 du D\u00e9cret du 30 mars 2012 relatif \u00e0 l’exercice de l’activit\u00e9 d’expertise comptable, les experts-comptables sont tenus \u00e0 un devoir d\u2019information et de conseil \u00e0 l\u2019\u00e9gard de leurs clients ou adh\u00e9rents.<\/p>
        <\/p>
        D\u00e8s lors, dans sa qualit\u00e9 et son devoir de conseil, le r\u00f4le de l\u2019expert comptable est de veiller \u00e0 ce que ses clients respectent le RGPD, notamment \u00e0 l\u2019occasion de ses missions d\u2019audits ou de l\u2019\u00e9laboration de propositions offres d\u2019accompagnement. Pour \u00e9viter tout cas de contentieux en d\u00e9faut d’information et de conseil, les experts-comptables doivent donc \u00e0 minima informer leurs clients de leur obligation \u00e0 se mettre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Un partenariat entre la CNIL et le CSOEC a \u00e9t\u00e9 conclu en ce sens en 2020 afin notamment de diffuser une culture de la protection des donn\u00e9es personnelles aupr\u00e8s des experts-comptables, \u00e0 la fois pour la mise en conformit\u00e9 de leur propre structure mais \u00e9galement dans leur r\u00f4le de proximit\u00e9 aupr\u00e8s des entreprises.<\/p>
        <\/p>
        En effet, les experts-comptables ont une connaissance approfondie des risques li\u00e9s \u00e0 l\u2019activit\u00e9 de leurs clients et ils constituent un interlocuteur privil\u00e9gi\u00e9 pour r\u00e9pondre aux besoins de mise en conformit\u00e9 de ces derniers. Le CSOEC estime ainsi que \u00ab Les experts-comptables sont comp\u00e9tents en mati\u00e8re de protection des donn\u00e9es personnelles d\u00e8s lors qu\u2019ils ont d\u00e9j\u00e0 mis en place les obligations impos\u00e9es par le RGPD au sein de leurs cabinets. Ils peuvent donc proposer une mission dans laquelle ils accompagnent leurs entreprises clientes \u00e0 mettre en place le RGPD \u00bb.<\/p>
        <\/p>
        C’est dans ce contexte que l’expert-comptable est amen\u00e9 \u00e0 la fois \u00e0 alerter ses clients sur leur conformit\u00e9 RGPD et \u00e0 leur proposer des prestations de service relatives \u00e0 la mise en conformit\u00e9 RGPD.<\/p>
        <\/p>"}},{"@type":"Question","name":"Qu\u2019implique la mise en conformit\u00e9 au RGPD pour le cabinet d\u2019expertise comptable ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>\n
        Le processus de mise en conformit\u00e9 au RGPD implique de respecter la mise en \u0153uvre de plusieurs mesures, notamment :<\/p>\n
        <\/p>\n
        <\/p>\n
        Constituer un registre des traitements des donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Il permet au cabinet d\u2019avoir une vision d\u2019ensemble sur les traitements de donn\u00e9es qu\u2019il r\u00e9alise. Le registre requiert de proc\u00e9der \u00e0 une identification des activit\u00e9s principales du cabinet ayant recours au traitement de donn\u00e9es personnelles, c\u2019est ce qu\u2019on appelle les traitements. L’expert-comptable responsable de traitement ou le sous-traitant doit ainsi proc\u00e9der \u00e0 la cr\u00e9ation d\u2019une fiche pour chaque traitement recens\u00e9, en indiquant notamment sa finalit\u00e9, c\u2019est-\u00e0-dire l\u2019objectif en vue duquel les donn\u00e9es sont trait\u00e9es par le cabinet.<\/p>\n
        <\/p>\n
        Enfin, le registre doit \u00eatre mis \u00e0 jour r\u00e9guli\u00e8rement car les cabinets peuvent \u00eatre amen\u00e9s \u00e0 changer de logiciels, \u00e0 faire \u00e9voluer leur organisation interne ou \u00e0 changer de sous-traitants. La protection des donn\u00e9es doit donc \u00eatre continue.<\/p>\n
        <\/p>\n
        A noter : Il est vivement conseill\u00e9 de confier la tenue du registre de traitements au d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es (DPD) \/ data protection officer (DPO) qui se chargera de sa mise \u00e0 jour r\u00e9guli\u00e8rement.<\/em><\/p>\n
        <\/p>\n
        <\/p>\n
        Trier les donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le cabinet doit se limiter \u00e0 la collecte des donn\u00e9es strictement n\u00e9cessaires au traitement. C\u2019est le principe de minimisation des donn\u00e9es. Ainsi, les donn\u00e9es ne doivent \u00eatre trait\u00e9es que si :<\/p>\n
        <\/p>\n
        <\/p>\n
        elles sont n\u00e9cessaires \u00e0 l\u2019activit\u00e9 de l\u2019organisme ;<\/li>\n
        <\/p>\n
        il ne s\u2019agit pas de donn\u00e9es dites \u00ab sensibles \u00bb, dans le cas contraire il convient de s\u2019assurer que le cabinet a bien le droit de les traiter ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont accessibles uniquement aux personnes habilit\u00e9es ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont conserv\u00e9es uniquement le temps n\u00e9cessaire et\/ou r\u00e8glementaire ;<\/li>\n
        <\/p>\n
        Respecter les droits des personnes. <\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le RGPD a pour objectif de renforcer la protection des donn\u00e9es des personnes. C\u2019est pourquoi il est venu conf\u00e9rer \u00e0 ces derni\u00e8res un certain nombre de droits, notamment le droit d\u2019acc\u00e8s, de rectification, d\u2019opposition, d\u2019effacement, le droit \u00e0 la limitation du traitement, \u00e0 la portabilit\u00e9. C\u2019est au responsable de traitement qu\u2019il appartient de mettre en place les mesures visant \u00e0 faire respecter ces droits.<\/p>\n
        <\/p>\n
        <\/p>\n
        S\u00e9curiser les donn\u00e9es personnelles<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le responsable de traitement doit prendre les mesures n\u00e9cessaires afin de garantir la s\u00e9curisation des donn\u00e9es personnelles en r\u00e9duisant les risques de violations de donn\u00e9es en respectant notamment les principes suivants :<\/p>\n
        <\/p>\n
        <\/p>\n
        Le principe de confidentialit\u00e9 : les donn\u00e9es doivent \u00eatre accessibles aux seules personnes autoris\u00e9es<\/li>\n
        <\/p>\n
        Le principe d\u2019int\u00e9grit\u00e9 : les donn\u00e9es ne doivent pas \u00eatre alt\u00e9r\u00e9es ou modifi\u00e9es<\/li>\n
        <\/p>\n
        Le principe de disponibilit\u00e9 : les donn\u00e9es doivent \u00eatre en permanence accessibles aux personnes autoris\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Si un organisme subi une violation de donn\u00e9es, il doit proc\u00e9der \u00e0 un signalement \u00e0 la CNIL dans les 72 heures suivant la violation, si celle-ci est susceptible de repr\u00e9senter un risque pour les droits et libert\u00e9s des personnes concern\u00e9es.<\/p>\n
        <\/p>\n
        <\/p>\n
        Respecter le principe d\u2019accountability<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Ce principe d\u00e9signe l\u2019obligation pour les cabinets de mettre en \u0153uvre des m\u00e9canismes et des proc\u00e9dures internes permettant de d\u00e9montrer le respect des r\u00e8gles relatives \u00e0 la protection des donn\u00e9es.<\/p>\n
        <\/p>\n
        En cas de contr\u00f4le de la CNIL, la cabinet doit donc \u00eatre en mesure de d\u00e9montrer sa conformit\u00e9 au RGPD et les mesures prises \u00e0 cet effet.<\/p>\n
        <\/p>\n
        <\/p>\n
        R\u00e9vision des pratiques, contrats et lettre de mission rgpd expert-comptable<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Dans le cadre du processus de mise en conformit\u00e9, il est \u00e9galement n\u00e9cessaire de modifier tous les contrats de prestation et les lettres de mission du cabinet. L\u2019Ordre des experts comptables recommande en ce sens de revoir les contrats clients en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>\n
        <\/p>\n
        \u00c9galement, il est d\u00e9sormais exclu de communiquer des bulletins de paie par email. Il convient dor\u00e9navant d\u2019utiliser une plateforme<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quelles sont les nouvelles responsabilit\u00e9s qu\u2019implique le RGPD pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Au-del\u00e0 des responsabilit\u00e9s inh\u00e9rentes \u00e0 la qualit\u00e9 de responsable de traitement, le RGPD implique de nouvelles responsabilit\u00e9s pour les experts-comptables. Tout d\u2019abord, ils voient leur responsabilit\u00e9 renforc\u00e9e en mati\u00e8re de devoir d\u2019information et de conseil, du fait de leur devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit offrir \u00e0 ses clients \u00ab des garanties suffisantes quant \u00e0 la mise en \u0153uvre de mesures techniques et organisationnelles appropri\u00e9es de mani\u00e8re \u00e0 ce que le traitement r\u00e9ponde aux exigences du pr\u00e9sent r\u00e8glement et garantisse la protection des droits de la personne concern\u00e9e \u00bb (Art.28 RGPD).<\/p>
        <\/p>
        Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        \n
        Qui d\u00e9termine la finalit\u00e9 du traitement ?<\/li>\n\n
        Qui dispose du contr\u00f4le sur le traitement des donn\u00e9es personnelles ?<\/li>\n\n
        Qui d\u00e9termine les moyens essentiels du traitement ?<\/li>\n<\/ul>\n
        <\/p>\n
        Si pour chacune de ces questions, la r\u00e9ponse est le cabinet d\u2019expertise comptable, alors celui-ci est responsable du traitement.<\/p>\n
        <\/p>\n
        La responsabilit\u00e9 du cabinet et son obligation d\u2019information diff\u00e8rent en fonction de la qualification. Le CSOEC pr\u00e9conise d\u2019ailleurs \u00e0 ce sujet que l\u2019obligation d\u2019information des personnes physiques soit assum\u00e9e par le client lorsque le cabinet est co-responsable du traitement.<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quels sont les risques en cas de non-conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Depuis le 25 mai 2018, tout organisme qui ne respecte pas ses obligations en mati\u00e8re de protection des donn\u00e9es personnelles (RGPD et Loi Informatique et Libert\u00e9s) s\u2019expose \u00e0 des sanctions administratives et p\u00e9nales.<\/p>
        <\/p>
        A l’issue de contr\u00f4le ou de plaintes, en cas de m\u00e9connaissance des dispositions du RGPD ou de la loi de la part des responsables de traitement et des sous-traitants, la CNIL peut prononcer des sanctions \u00e0 l’\u00e9gard des responsables de traitements et\/ou de leurs sous-traitants qui ne respecteraient pas ces textes.<\/p>
        <\/p>
        Lorsque des manquements au RGPD ou \u00e0 la loi sont port\u00e9s \u00e0 sa connaissance, la CNIL peut :<\/p>
        <\/p>
        Prononcer un rappel \u00e0 l\u2019ordre ;<\/li>
        Enjoindre de mettre le traitement en conformit\u00e9, y compris sous astreinte ;<\/li>
        Limiter temporairement ou d\u00e9finitivement un traitement ;<\/li>
        Suspendre les flux de donn\u00e9es ;<\/li>
        Ordonner de satisfaire aux demandes d’exercice des droits des personnes, y compris sous astreinte ;<\/li>
        Prononcer une amende administrative qui peut \u00eatre rendue publique et dont le montant peut s\u2019\u00e9lever :<\/li>
        Jusqu\u2019\u00e0 2 % du chiffre d\u2019affaires mondial de l\u2019entreprise pour des manquements tels que l\u2019absence de registre de traitements, le d\u00e9faut d\u2019annonce suite \u00e0 une faille d\u00e9cel\u00e9e, le d\u00e9faut d\u2019\u00e9tude d\u2019impact sur la vie priv\u00e9e (en cas de donn\u00e9es sensibles), etc.<\/li>
        Jusqu\u2019\u00e0 4 % du chiffre d\u2019affaires mondial notamment en cas de refus d\u2019obtemp\u00e9rer aux injonctions de la CNIL, de traitements de donn\u00e9es ill\u00e9gaux, de d\u00e9faut de consentement, de non-respect des droits des personnes, etc.<\/li><\/ul>
        <\/p>
        \u00c9galement, toute personne concern\u00e9e par une violation de ses donn\u00e9es personnelles par le responsable de traitement et\/ou son sous-traitant, et ayant subi un dommage mat\u00e9riel ou moral du fait de cette violation, peut obtenir r\u00e9paration de son pr\u00e9judice notamment sous la forme de dommages et int\u00e9r\u00eats. En cas de contr\u00f4le de la CNIL, vous devez \u00eatre en mesure de garantir la protection des donn\u00e9es personnelles et de d\u00e9montrer les mesures prises \u00e0 cet effet.<\/p>
        <\/p>"}},{"@type":"Question","name":"Pourquoi se mettre en conformit\u00e9 au RGPD\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>\n
        Il est n\u00e9cessaire de se mettre en conformit\u00e9 au RGPD et ce pour plusieurs raisons.<\/p>\n
        <\/p>\n
        Tout d\u2019abord, il s\u2019agit d\u2019une obligation impos\u00e9e \u00e0 tout organisme, public ou priv\u00e9, traitant des donn\u00e9es personnelles d\u00e8s lors que celui-ci est \u00e9tabli sur le territoire de l\u2019Union europ\u00e9enne ou que son activit\u00e9 cible directement des r\u00e9sidents europ\u00e9ens.<\/p>\n
        <\/p>\n
        Ensuite, les organisations non conformes au RGPD s\u2019exposent \u00e0 de forts risques de sanctions dont notamment des amendes administratives pouvant s\u2019\u00e9lever \u00e0 hauteur de 2 ou 4% du chiffre d’affaires annuel mondial de l\u2019entreprise.<\/p>\n
        <\/p>\n
        Enfin, au-del\u00e0 d\u2019\u00eatre une obligation l\u00e9gale et r\u00e8glementaire et de constituer un risque accru de sanction, le RGPD est une v\u00e9ritable opportunit\u00e9 puisqu\u2019il permet de :<\/p>\n
        <\/p>\n
        <\/p>\n
        Valoriser la data en exploitant les donn\u00e9es de mani\u00e8re l\u00e9gale et qualitative<\/li>\n
        <\/p>\n
        Accro\u00eetre la confiance des clients, partenaires et prospects gr\u00e2ce \u00e0 la transparence<\/li>\n
        <\/p>\n
        Conforter et renforcer l\u2019image de marque du cabinet<\/li>\n
        <\/p>\n
        Acqu\u00e9rir de nouveaux clients et de nouveaux march\u00e9s<\/li>\n
        <\/p>\n
        Remporter des appels d\u2019offre (les acheteurs publics ont l\u2019obligation de v\u00e9rifier la conformit\u00e9 RGPD des soumissionnaires \u00e0 appel d\u2019offres)<\/li>\n
        <\/p>\n
        Am\u00e9liorer l\u2019organisation interne et renforcer la confiance des collaborateurs de l\u2019organisme<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        \u00catre conforme RGPD est donc primordial.<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quel est le r\u00f4le de l\u2019expert-comptable dans l\u2019accompagnement de ses clients en mati\u00e8re de conformit\u00e9 RGPD\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        En application de l’article 155 du D\u00e9cret du 30 mars 2012 relatif \u00e0 l’exercice de l’activit\u00e9 d’expertise comptable, les experts-comptables sont tenus \u00e0 un devoir d\u2019information et de conseil \u00e0 l\u2019\u00e9gard de leurs clients ou adh\u00e9rents.<\/p>
        <\/p>
        D\u00e8s lors, dans sa qualit\u00e9 et son devoir de conseil, le r\u00f4le de l\u2019expert comptable est de veiller \u00e0 ce que ses clients respectent le RGPD, notamment \u00e0 l\u2019occasion de ses missions d\u2019audits ou de l\u2019\u00e9laboration de propositions offres d\u2019accompagnement. Pour \u00e9viter tout cas de contentieux en d\u00e9faut d’information et de conseil, les experts-comptables doivent donc \u00e0 minima informer leurs clients de leur obligation \u00e0 se mettre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Un partenariat entre la CNIL et le CSOEC a \u00e9t\u00e9 conclu en ce sens en 2020 afin notamment de diffuser une culture de la protection des donn\u00e9es personnelles aupr\u00e8s des experts-comptables, \u00e0 la fois pour la mise en conformit\u00e9 de leur propre structure mais \u00e9galement dans leur r\u00f4le de proximit\u00e9 aupr\u00e8s des entreprises.<\/p>
        <\/p>
        En effet, les experts-comptables ont une connaissance approfondie des risques li\u00e9s \u00e0 l\u2019activit\u00e9 de leurs clients et ils constituent un interlocuteur privil\u00e9gi\u00e9 pour r\u00e9pondre aux besoins de mise en conformit\u00e9 de ces derniers. Le CSOEC estime ainsi que \u00ab Les experts-comptables sont comp\u00e9tents en mati\u00e8re de protection des donn\u00e9es personnelles d\u00e8s lors qu\u2019ils ont d\u00e9j\u00e0 mis en place les obligations impos\u00e9es par le RGPD au sein de leurs cabinets. Ils peuvent donc proposer une mission dans laquelle ils accompagnent leurs entreprises clientes \u00e0 mettre en place le RGPD \u00bb.<\/p>
        <\/p>
        C’est dans ce contexte que l’expert-comptable est amen\u00e9 \u00e0 la fois \u00e0 alerter ses clients sur leur conformit\u00e9 RGPD et \u00e0 leur proposer des prestations de service relatives \u00e0 la mise en conformit\u00e9 RGPD.<\/p>
        <\/p>"}},{"@type":"Question","name":"Qu\u2019implique la mise en conformit\u00e9 au RGPD pour le cabinet d\u2019expertise comptable ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>\n
        Le processus de mise en conformit\u00e9 au RGPD implique de respecter la mise en \u0153uvre de plusieurs mesures, notamment :<\/p>\n
        <\/p>\n
        <\/p>\n
        Constituer un registre des traitements des donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Il permet au cabinet d\u2019avoir une vision d\u2019ensemble sur les traitements de donn\u00e9es qu\u2019il r\u00e9alise. Le registre requiert de proc\u00e9der \u00e0 une identification des activit\u00e9s principales du cabinet ayant recours au traitement de donn\u00e9es personnelles, c\u2019est ce qu\u2019on appelle les traitements. L’expert-comptable responsable de traitement ou le sous-traitant doit ainsi proc\u00e9der \u00e0 la cr\u00e9ation d\u2019une fiche pour chaque traitement recens\u00e9, en indiquant notamment sa finalit\u00e9, c\u2019est-\u00e0-dire l\u2019objectif en vue duquel les donn\u00e9es sont trait\u00e9es par le cabinet.<\/p>\n
        <\/p>\n
        Enfin, le registre doit \u00eatre mis \u00e0 jour r\u00e9guli\u00e8rement car les cabinets peuvent \u00eatre amen\u00e9s \u00e0 changer de logiciels, \u00e0 faire \u00e9voluer leur organisation interne ou \u00e0 changer de sous-traitants. La protection des donn\u00e9es doit donc \u00eatre continue.<\/p>\n
        <\/p>\n
        A noter : Il est vivement conseill\u00e9 de confier la tenue du registre de traitements au d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es (DPD) \/ data protection officer (DPO) qui se chargera de sa mise \u00e0 jour r\u00e9guli\u00e8rement.<\/em><\/p>\n
        <\/p>\n
        <\/p>\n
        Trier les donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le cabinet doit se limiter \u00e0 la collecte des donn\u00e9es strictement n\u00e9cessaires au traitement. C\u2019est le principe de minimisation des donn\u00e9es. Ainsi, les donn\u00e9es ne doivent \u00eatre trait\u00e9es que si :<\/p>\n
        <\/p>\n
        <\/p>\n
        elles sont n\u00e9cessaires \u00e0 l\u2019activit\u00e9 de l\u2019organisme ;<\/li>\n
        <\/p>\n
        il ne s\u2019agit pas de donn\u00e9es dites \u00ab sensibles \u00bb, dans le cas contraire il convient de s\u2019assurer que le cabinet a bien le droit de les traiter ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont accessibles uniquement aux personnes habilit\u00e9es ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont conserv\u00e9es uniquement le temps n\u00e9cessaire et\/ou r\u00e8glementaire ;<\/li>\n
        <\/p>\n
        Respecter les droits des personnes. <\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le RGPD a pour objectif de renforcer la protection des donn\u00e9es des personnes. C\u2019est pourquoi il est venu conf\u00e9rer \u00e0 ces derni\u00e8res un certain nombre de droits, notamment le droit d\u2019acc\u00e8s, de rectification, d\u2019opposition, d\u2019effacement, le droit \u00e0 la limitation du traitement, \u00e0 la portabilit\u00e9. C\u2019est au responsable de traitement qu\u2019il appartient de mettre en place les mesures visant \u00e0 faire respecter ces droits.<\/p>\n
        <\/p>\n
        <\/p>\n
        S\u00e9curiser les donn\u00e9es personnelles<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le responsable de traitement doit prendre les mesures n\u00e9cessaires afin de garantir la s\u00e9curisation des donn\u00e9es personnelles en r\u00e9duisant les risques de violations de donn\u00e9es en respectant notamment les principes suivants :<\/p>\n
        <\/p>\n
        <\/p>\n
        Le principe de confidentialit\u00e9 : les donn\u00e9es doivent \u00eatre accessibles aux seules personnes autoris\u00e9es<\/li>\n
        <\/p>\n
        Le principe d\u2019int\u00e9grit\u00e9 : les donn\u00e9es ne doivent pas \u00eatre alt\u00e9r\u00e9es ou modifi\u00e9es<\/li>\n
        <\/p>\n
        Le principe de disponibilit\u00e9 : les donn\u00e9es doivent \u00eatre en permanence accessibles aux personnes autoris\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Si un organisme subi une violation de donn\u00e9es, il doit proc\u00e9der \u00e0 un signalement \u00e0 la CNIL dans les 72 heures suivant la violation, si celle-ci est susceptible de repr\u00e9senter un risque pour les droits et libert\u00e9s des personnes concern\u00e9es.<\/p>\n
        <\/p>\n
        <\/p>\n
        Respecter le principe d\u2019accountability<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Ce principe d\u00e9signe l\u2019obligation pour les cabinets de mettre en \u0153uvre des m\u00e9canismes et des proc\u00e9dures internes permettant de d\u00e9montrer le respect des r\u00e8gles relatives \u00e0 la protection des donn\u00e9es.<\/p>\n
        <\/p>\n
        En cas de contr\u00f4le de la CNIL, la cabinet doit donc \u00eatre en mesure de d\u00e9montrer sa conformit\u00e9 au RGPD et les mesures prises \u00e0 cet effet.<\/p>\n
        <\/p>\n
        <\/p>\n
        R\u00e9vision des pratiques, contrats et lettre de mission rgpd expert-comptable<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Dans le cadre du processus de mise en conformit\u00e9, il est \u00e9galement n\u00e9cessaire de modifier tous les contrats de prestation et les lettres de mission du cabinet. L\u2019Ordre des experts comptables recommande en ce sens de revoir les contrats clients en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>\n
        <\/p>\n
        \u00c9galement, il est d\u00e9sormais exclu de communiquer des bulletins de paie par email. Il convient dor\u00e9navant d\u2019utiliser une plateforme<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quelles sont les nouvelles responsabilit\u00e9s qu\u2019implique le RGPD pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Au-del\u00e0 des responsabilit\u00e9s inh\u00e9rentes \u00e0 la qualit\u00e9 de responsable de traitement, le RGPD implique de nouvelles responsabilit\u00e9s pour les experts-comptables. Tout d\u2019abord, ils voient leur responsabilit\u00e9 renforc\u00e9e en mati\u00e8re de devoir d\u2019information et de conseil, du fait de leur devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit offrir \u00e0 ses clients \u00ab des garanties suffisantes quant \u00e0 la mise en \u0153uvre de mesures techniques et organisationnelles appropri\u00e9es de mani\u00e8re \u00e0 ce que le traitement r\u00e9ponde aux exigences du pr\u00e9sent r\u00e8glement et garantisse la protection des droits de la personne concern\u00e9e \u00bb (Art.28 RGPD).<\/p>
        <\/p>
        Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        <\/p>\n
        \n
        Qui d\u00e9termine la finalit\u00e9 du traitement ?<\/li>\n\n
        Qui dispose du contr\u00f4le sur le traitement des donn\u00e9es personnelles ?<\/li>\n\n
        Qui d\u00e9termine les moyens essentiels du traitement ?<\/li>\n<\/ul>\n
        <\/p>\n
        Si pour chacune de ces questions, la r\u00e9ponse est le cabinet d\u2019expertise comptable, alors celui-ci est responsable du traitement.<\/p>\n
        <\/p>\n
        La responsabilit\u00e9 du cabinet et son obligation d\u2019information diff\u00e8rent en fonction de la qualification. Le CSOEC pr\u00e9conise d\u2019ailleurs \u00e0 ce sujet que l\u2019obligation d\u2019information des personnes physiques soit assum\u00e9e par le client lorsque le cabinet est co-responsable du traitement.<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quels sont les risques en cas de non-conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Depuis le 25 mai 2018, tout organisme qui ne respecte pas ses obligations en mati\u00e8re de protection des donn\u00e9es personnelles (RGPD et Loi Informatique et Libert\u00e9s) s\u2019expose \u00e0 des sanctions administratives et p\u00e9nales.<\/p>
        <\/p>
        A l’issue de contr\u00f4le ou de plaintes, en cas de m\u00e9connaissance des dispositions du RGPD ou de la loi de la part des responsables de traitement et des sous-traitants, la CNIL peut prononcer des sanctions \u00e0 l’\u00e9gard des responsables de traitements et\/ou de leurs sous-traitants qui ne respecteraient pas ces textes.<\/p>
        <\/p>
        Lorsque des manquements au RGPD ou \u00e0 la loi sont port\u00e9s \u00e0 sa connaissance, la CNIL peut :<\/p>
        <\/p>
        Prononcer un rappel \u00e0 l\u2019ordre ;<\/li>
        Enjoindre de mettre le traitement en conformit\u00e9, y compris sous astreinte ;<\/li>
        Limiter temporairement ou d\u00e9finitivement un traitement ;<\/li>
        Suspendre les flux de donn\u00e9es ;<\/li>
        Ordonner de satisfaire aux demandes d’exercice des droits des personnes, y compris sous astreinte ;<\/li>
        Prononcer une amende administrative qui peut \u00eatre rendue publique et dont le montant peut s\u2019\u00e9lever :<\/li>
        Jusqu\u2019\u00e0 2 % du chiffre d\u2019affaires mondial de l\u2019entreprise pour des manquements tels que l\u2019absence de registre de traitements, le d\u00e9faut d\u2019annonce suite \u00e0 une faille d\u00e9cel\u00e9e, le d\u00e9faut d\u2019\u00e9tude d\u2019impact sur la vie priv\u00e9e (en cas de donn\u00e9es sensibles), etc.<\/li>
        Jusqu\u2019\u00e0 4 % du chiffre d\u2019affaires mondial notamment en cas de refus d\u2019obtemp\u00e9rer aux injonctions de la CNIL, de traitements de donn\u00e9es ill\u00e9gaux, de d\u00e9faut de consentement, de non-respect des droits des personnes, etc.<\/li><\/ul>
        <\/p>
        \u00c9galement, toute personne concern\u00e9e par une violation de ses donn\u00e9es personnelles par le responsable de traitement et\/ou son sous-traitant, et ayant subi un dommage mat\u00e9riel ou moral du fait de cette violation, peut obtenir r\u00e9paration de son pr\u00e9judice notamment sous la forme de dommages et int\u00e9r\u00eats. En cas de contr\u00f4le de la CNIL, vous devez \u00eatre en mesure de garantir la protection des donn\u00e9es personnelles et de d\u00e9montrer les mesures prises \u00e0 cet effet.<\/p>
        <\/p>"}},{"@type":"Question","name":"Pourquoi se mettre en conformit\u00e9 au RGPD\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>\n
        Il est n\u00e9cessaire de se mettre en conformit\u00e9 au RGPD et ce pour plusieurs raisons.<\/p>\n
        <\/p>\n
        Tout d\u2019abord, il s\u2019agit d\u2019une obligation impos\u00e9e \u00e0 tout organisme, public ou priv\u00e9, traitant des donn\u00e9es personnelles d\u00e8s lors que celui-ci est \u00e9tabli sur le territoire de l\u2019Union europ\u00e9enne ou que son activit\u00e9 cible directement des r\u00e9sidents europ\u00e9ens.<\/p>\n
        <\/p>\n
        Ensuite, les organisations non conformes au RGPD s\u2019exposent \u00e0 de forts risques de sanctions dont notamment des amendes administratives pouvant s\u2019\u00e9lever \u00e0 hauteur de 2 ou 4% du chiffre d’affaires annuel mondial de l\u2019entreprise.<\/p>\n
        <\/p>\n
        Enfin, au-del\u00e0 d\u2019\u00eatre une obligation l\u00e9gale et r\u00e8glementaire et de constituer un risque accru de sanction, le RGPD est une v\u00e9ritable opportunit\u00e9 puisqu\u2019il permet de :<\/p>\n
        <\/p>\n
        <\/p>\n
        Valoriser la data en exploitant les donn\u00e9es de mani\u00e8re l\u00e9gale et qualitative<\/li>\n
        <\/p>\n
        Accro\u00eetre la confiance des clients, partenaires et prospects gr\u00e2ce \u00e0 la transparence<\/li>\n
        <\/p>\n
        Conforter et renforcer l\u2019image de marque du cabinet<\/li>\n
        <\/p>\n
        Acqu\u00e9rir de nouveaux clients et de nouveaux march\u00e9s<\/li>\n
        <\/p>\n
        Remporter des appels d\u2019offre (les acheteurs publics ont l\u2019obligation de v\u00e9rifier la conformit\u00e9 RGPD des soumissionnaires \u00e0 appel d\u2019offres)<\/li>\n
        <\/p>\n
        Am\u00e9liorer l\u2019organisation interne et renforcer la confiance des collaborateurs de l\u2019organisme<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        \u00catre conforme RGPD est donc primordial.<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quel est le r\u00f4le de l\u2019expert-comptable dans l\u2019accompagnement de ses clients en mati\u00e8re de conformit\u00e9 RGPD\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        En application de l’article 155 du D\u00e9cret du 30 mars 2012 relatif \u00e0 l’exercice de l’activit\u00e9 d’expertise comptable, les experts-comptables sont tenus \u00e0 un devoir d\u2019information et de conseil \u00e0 l\u2019\u00e9gard de leurs clients ou adh\u00e9rents.<\/p>
        <\/p>
        D\u00e8s lors, dans sa qualit\u00e9 et son devoir de conseil, le r\u00f4le de l\u2019expert comptable est de veiller \u00e0 ce que ses clients respectent le RGPD, notamment \u00e0 l\u2019occasion de ses missions d\u2019audits ou de l\u2019\u00e9laboration de propositions offres d\u2019accompagnement. Pour \u00e9viter tout cas de contentieux en d\u00e9faut d’information et de conseil, les experts-comptables doivent donc \u00e0 minima informer leurs clients de leur obligation \u00e0 se mettre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Un partenariat entre la CNIL et le CSOEC a \u00e9t\u00e9 conclu en ce sens en 2020 afin notamment de diffuser une culture de la protection des donn\u00e9es personnelles aupr\u00e8s des experts-comptables, \u00e0 la fois pour la mise en conformit\u00e9 de leur propre structure mais \u00e9galement dans leur r\u00f4le de proximit\u00e9 aupr\u00e8s des entreprises.<\/p>
        <\/p>
        En effet, les experts-comptables ont une connaissance approfondie des risques li\u00e9s \u00e0 l\u2019activit\u00e9 de leurs clients et ils constituent un interlocuteur privil\u00e9gi\u00e9 pour r\u00e9pondre aux besoins de mise en conformit\u00e9 de ces derniers. Le CSOEC estime ainsi que \u00ab Les experts-comptables sont comp\u00e9tents en mati\u00e8re de protection des donn\u00e9es personnelles d\u00e8s lors qu\u2019ils ont d\u00e9j\u00e0 mis en place les obligations impos\u00e9es par le RGPD au sein de leurs cabinets. Ils peuvent donc proposer une mission dans laquelle ils accompagnent leurs entreprises clientes \u00e0 mettre en place le RGPD \u00bb.<\/p>
        <\/p>
        C’est dans ce contexte que l’expert-comptable est amen\u00e9 \u00e0 la fois \u00e0 alerter ses clients sur leur conformit\u00e9 RGPD et \u00e0 leur proposer des prestations de service relatives \u00e0 la mise en conformit\u00e9 RGPD.<\/p>
        <\/p>"}},{"@type":"Question","name":"Qu\u2019implique la mise en conformit\u00e9 au RGPD pour le cabinet d\u2019expertise comptable ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>\n
        Le processus de mise en conformit\u00e9 au RGPD implique de respecter la mise en \u0153uvre de plusieurs mesures, notamment :<\/p>\n
        <\/p>\n
        <\/p>\n
        Constituer un registre des traitements des donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Il permet au cabinet d\u2019avoir une vision d\u2019ensemble sur les traitements de donn\u00e9es qu\u2019il r\u00e9alise. Le registre requiert de proc\u00e9der \u00e0 une identification des activit\u00e9s principales du cabinet ayant recours au traitement de donn\u00e9es personnelles, c\u2019est ce qu\u2019on appelle les traitements. L’expert-comptable responsable de traitement ou le sous-traitant doit ainsi proc\u00e9der \u00e0 la cr\u00e9ation d\u2019une fiche pour chaque traitement recens\u00e9, en indiquant notamment sa finalit\u00e9, c\u2019est-\u00e0-dire l\u2019objectif en vue duquel les donn\u00e9es sont trait\u00e9es par le cabinet.<\/p>\n
        <\/p>\n
        Enfin, le registre doit \u00eatre mis \u00e0 jour r\u00e9guli\u00e8rement car les cabinets peuvent \u00eatre amen\u00e9s \u00e0 changer de logiciels, \u00e0 faire \u00e9voluer leur organisation interne ou \u00e0 changer de sous-traitants. La protection des donn\u00e9es doit donc \u00eatre continue.<\/p>\n
        <\/p>\n
        A noter : Il est vivement conseill\u00e9 de confier la tenue du registre de traitements au d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es (DPD) \/ data protection officer (DPO) qui se chargera de sa mise \u00e0 jour r\u00e9guli\u00e8rement.<\/em><\/p>\n
        <\/p>\n
        <\/p>\n
        Trier les donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le cabinet doit se limiter \u00e0 la collecte des donn\u00e9es strictement n\u00e9cessaires au traitement. C\u2019est le principe de minimisation des donn\u00e9es. Ainsi, les donn\u00e9es ne doivent \u00eatre trait\u00e9es que si :<\/p>\n
        <\/p>\n
        <\/p>\n
        elles sont n\u00e9cessaires \u00e0 l\u2019activit\u00e9 de l\u2019organisme ;<\/li>\n
        <\/p>\n
        il ne s\u2019agit pas de donn\u00e9es dites \u00ab sensibles \u00bb, dans le cas contraire il convient de s\u2019assurer que le cabinet a bien le droit de les traiter ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont accessibles uniquement aux personnes habilit\u00e9es ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont conserv\u00e9es uniquement le temps n\u00e9cessaire et\/ou r\u00e8glementaire ;<\/li>\n
        <\/p>\n
        Respecter les droits des personnes. <\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le RGPD a pour objectif de renforcer la protection des donn\u00e9es des personnes. C\u2019est pourquoi il est venu conf\u00e9rer \u00e0 ces derni\u00e8res un certain nombre de droits, notamment le droit d\u2019acc\u00e8s, de rectification, d\u2019opposition, d\u2019effacement, le droit \u00e0 la limitation du traitement, \u00e0 la portabilit\u00e9. C\u2019est au responsable de traitement qu\u2019il appartient de mettre en place les mesures visant \u00e0 faire respecter ces droits.<\/p>\n
        <\/p>\n
        <\/p>\n
        S\u00e9curiser les donn\u00e9es personnelles<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le responsable de traitement doit prendre les mesures n\u00e9cessaires afin de garantir la s\u00e9curisation des donn\u00e9es personnelles en r\u00e9duisant les risques de violations de donn\u00e9es en respectant notamment les principes suivants :<\/p>\n
        <\/p>\n
        <\/p>\n
        Le principe de confidentialit\u00e9 : les donn\u00e9es doivent \u00eatre accessibles aux seules personnes autoris\u00e9es<\/li>\n
        <\/p>\n
        Le principe d\u2019int\u00e9grit\u00e9 : les donn\u00e9es ne doivent pas \u00eatre alt\u00e9r\u00e9es ou modifi\u00e9es<\/li>\n
        <\/p>\n
        Le principe de disponibilit\u00e9 : les donn\u00e9es doivent \u00eatre en permanence accessibles aux personnes autoris\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Si un organisme subi une violation de donn\u00e9es, il doit proc\u00e9der \u00e0 un signalement \u00e0 la CNIL dans les 72 heures suivant la violation, si celle-ci est susceptible de repr\u00e9senter un risque pour les droits et libert\u00e9s des personnes concern\u00e9es.<\/p>\n
        <\/p>\n
        <\/p>\n
        Respecter le principe d\u2019accountability<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Ce principe d\u00e9signe l\u2019obligation pour les cabinets de mettre en \u0153uvre des m\u00e9canismes et des proc\u00e9dures internes permettant de d\u00e9montrer le respect des r\u00e8gles relatives \u00e0 la protection des donn\u00e9es.<\/p>\n
        <\/p>\n
        En cas de contr\u00f4le de la CNIL, la cabinet doit donc \u00eatre en mesure de d\u00e9montrer sa conformit\u00e9 au RGPD et les mesures prises \u00e0 cet effet.<\/p>\n
        <\/p>\n
        <\/p>\n
        R\u00e9vision des pratiques, contrats et lettre de mission rgpd expert-comptable<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Dans le cadre du processus de mise en conformit\u00e9, il est \u00e9galement n\u00e9cessaire de modifier tous les contrats de prestation et les lettres de mission du cabinet. L\u2019Ordre des experts comptables recommande en ce sens de revoir les contrats clients en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>\n
        <\/p>\n
        \u00c9galement, il est d\u00e9sormais exclu de communiquer des bulletins de paie par email. Il convient dor\u00e9navant d\u2019utiliser une plateforme<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quelles sont les nouvelles responsabilit\u00e9s qu\u2019implique le RGPD pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Au-del\u00e0 des responsabilit\u00e9s inh\u00e9rentes \u00e0 la qualit\u00e9 de responsable de traitement, le RGPD implique de nouvelles responsabilit\u00e9s pour les experts-comptables. Tout d\u2019abord, ils voient leur responsabilit\u00e9 renforc\u00e9e en mati\u00e8re de devoir d\u2019information et de conseil, du fait de leur devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit offrir \u00e0 ses clients \u00ab des garanties suffisantes quant \u00e0 la mise en \u0153uvre de mesures techniques et organisationnelles appropri\u00e9es de mani\u00e8re \u00e0 ce que le traitement r\u00e9ponde aux exigences du pr\u00e9sent r\u00e8glement et garantisse la protection des droits de la personne concern\u00e9e \u00bb (Art.28 RGPD).<\/p>
        <\/p>
        Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        <\/p>\n
        En vue d\u2019identifier cette qualification entre responsable de traitement, sous-traitant ou responsable conjoint, il convient donc de se poser les trois questions principales suivantes :<\/p>\n
        <\/p>\n
        \n
        Qui d\u00e9termine la finalit\u00e9 du traitement ?<\/li>\n\n
        Qui dispose du contr\u00f4le sur le traitement des donn\u00e9es personnelles ?<\/li>\n\n
        Qui d\u00e9termine les moyens essentiels du traitement ?<\/li>\n<\/ul>\n
        <\/p>\n
        Si pour chacune de ces questions, la r\u00e9ponse est le cabinet d\u2019expertise comptable, alors celui-ci est responsable du traitement.<\/p>\n
        <\/p>\n
        La responsabilit\u00e9 du cabinet et son obligation d\u2019information diff\u00e8rent en fonction de la qualification. Le CSOEC pr\u00e9conise d\u2019ailleurs \u00e0 ce sujet que l\u2019obligation d\u2019information des personnes physiques soit assum\u00e9e par le client lorsque le cabinet est co-responsable du traitement.<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quels sont les risques en cas de non-conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Depuis le 25 mai 2018, tout organisme qui ne respecte pas ses obligations en mati\u00e8re de protection des donn\u00e9es personnelles (RGPD et Loi Informatique et Libert\u00e9s) s\u2019expose \u00e0 des sanctions administratives et p\u00e9nales.<\/p>
        <\/p>
        A l’issue de contr\u00f4le ou de plaintes, en cas de m\u00e9connaissance des dispositions du RGPD ou de la loi de la part des responsables de traitement et des sous-traitants, la CNIL peut prononcer des sanctions \u00e0 l’\u00e9gard des responsables de traitements et\/ou de leurs sous-traitants qui ne respecteraient pas ces textes.<\/p>
        <\/p>
        Lorsque des manquements au RGPD ou \u00e0 la loi sont port\u00e9s \u00e0 sa connaissance, la CNIL peut :<\/p>
        <\/p>
        Prononcer un rappel \u00e0 l\u2019ordre ;<\/li>
        Enjoindre de mettre le traitement en conformit\u00e9, y compris sous astreinte ;<\/li>
        Limiter temporairement ou d\u00e9finitivement un traitement ;<\/li>
        Suspendre les flux de donn\u00e9es ;<\/li>
        Ordonner de satisfaire aux demandes d’exercice des droits des personnes, y compris sous astreinte ;<\/li>
        Prononcer une amende administrative qui peut \u00eatre rendue publique et dont le montant peut s\u2019\u00e9lever :<\/li>
        Jusqu\u2019\u00e0 2 % du chiffre d\u2019affaires mondial de l\u2019entreprise pour des manquements tels que l\u2019absence de registre de traitements, le d\u00e9faut d\u2019annonce suite \u00e0 une faille d\u00e9cel\u00e9e, le d\u00e9faut d\u2019\u00e9tude d\u2019impact sur la vie priv\u00e9e (en cas de donn\u00e9es sensibles), etc.<\/li>
        Jusqu\u2019\u00e0 4 % du chiffre d\u2019affaires mondial notamment en cas de refus d\u2019obtemp\u00e9rer aux injonctions de la CNIL, de traitements de donn\u00e9es ill\u00e9gaux, de d\u00e9faut de consentement, de non-respect des droits des personnes, etc.<\/li><\/ul>
        <\/p>
        \u00c9galement, toute personne concern\u00e9e par une violation de ses donn\u00e9es personnelles par le responsable de traitement et\/ou son sous-traitant, et ayant subi un dommage mat\u00e9riel ou moral du fait de cette violation, peut obtenir r\u00e9paration de son pr\u00e9judice notamment sous la forme de dommages et int\u00e9r\u00eats. En cas de contr\u00f4le de la CNIL, vous devez \u00eatre en mesure de garantir la protection des donn\u00e9es personnelles et de d\u00e9montrer les mesures prises \u00e0 cet effet.<\/p>
        <\/p>"}},{"@type":"Question","name":"Pourquoi se mettre en conformit\u00e9 au RGPD\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>\n
        Il est n\u00e9cessaire de se mettre en conformit\u00e9 au RGPD et ce pour plusieurs raisons.<\/p>\n
        <\/p>\n
        Tout d\u2019abord, il s\u2019agit d\u2019une obligation impos\u00e9e \u00e0 tout organisme, public ou priv\u00e9, traitant des donn\u00e9es personnelles d\u00e8s lors que celui-ci est \u00e9tabli sur le territoire de l\u2019Union europ\u00e9enne ou que son activit\u00e9 cible directement des r\u00e9sidents europ\u00e9ens.<\/p>\n
        <\/p>\n
        Ensuite, les organisations non conformes au RGPD s\u2019exposent \u00e0 de forts risques de sanctions dont notamment des amendes administratives pouvant s\u2019\u00e9lever \u00e0 hauteur de 2 ou 4% du chiffre d’affaires annuel mondial de l\u2019entreprise.<\/p>\n
        <\/p>\n
        Enfin, au-del\u00e0 d\u2019\u00eatre une obligation l\u00e9gale et r\u00e8glementaire et de constituer un risque accru de sanction, le RGPD est une v\u00e9ritable opportunit\u00e9 puisqu\u2019il permet de :<\/p>\n
        <\/p>\n
        <\/p>\n
        Valoriser la data en exploitant les donn\u00e9es de mani\u00e8re l\u00e9gale et qualitative<\/li>\n
        <\/p>\n
        Accro\u00eetre la confiance des clients, partenaires et prospects gr\u00e2ce \u00e0 la transparence<\/li>\n
        <\/p>\n
        Conforter et renforcer l\u2019image de marque du cabinet<\/li>\n
        <\/p>\n
        Acqu\u00e9rir de nouveaux clients et de nouveaux march\u00e9s<\/li>\n
        <\/p>\n
        Remporter des appels d\u2019offre (les acheteurs publics ont l\u2019obligation de v\u00e9rifier la conformit\u00e9 RGPD des soumissionnaires \u00e0 appel d\u2019offres)<\/li>\n
        <\/p>\n
        Am\u00e9liorer l\u2019organisation interne et renforcer la confiance des collaborateurs de l\u2019organisme<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        \u00catre conforme RGPD est donc primordial.<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quel est le r\u00f4le de l\u2019expert-comptable dans l\u2019accompagnement de ses clients en mati\u00e8re de conformit\u00e9 RGPD\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        En application de l’article 155 du D\u00e9cret du 30 mars 2012 relatif \u00e0 l’exercice de l’activit\u00e9 d’expertise comptable, les experts-comptables sont tenus \u00e0 un devoir d\u2019information et de conseil \u00e0 l\u2019\u00e9gard de leurs clients ou adh\u00e9rents.<\/p>
        <\/p>
        D\u00e8s lors, dans sa qualit\u00e9 et son devoir de conseil, le r\u00f4le de l\u2019expert comptable est de veiller \u00e0 ce que ses clients respectent le RGPD, notamment \u00e0 l\u2019occasion de ses missions d\u2019audits ou de l\u2019\u00e9laboration de propositions offres d\u2019accompagnement. Pour \u00e9viter tout cas de contentieux en d\u00e9faut d’information et de conseil, les experts-comptables doivent donc \u00e0 minima informer leurs clients de leur obligation \u00e0 se mettre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Un partenariat entre la CNIL et le CSOEC a \u00e9t\u00e9 conclu en ce sens en 2020 afin notamment de diffuser une culture de la protection des donn\u00e9es personnelles aupr\u00e8s des experts-comptables, \u00e0 la fois pour la mise en conformit\u00e9 de leur propre structure mais \u00e9galement dans leur r\u00f4le de proximit\u00e9 aupr\u00e8s des entreprises.<\/p>
        <\/p>
        En effet, les experts-comptables ont une connaissance approfondie des risques li\u00e9s \u00e0 l\u2019activit\u00e9 de leurs clients et ils constituent un interlocuteur privil\u00e9gi\u00e9 pour r\u00e9pondre aux besoins de mise en conformit\u00e9 de ces derniers. Le CSOEC estime ainsi que \u00ab Les experts-comptables sont comp\u00e9tents en mati\u00e8re de protection des donn\u00e9es personnelles d\u00e8s lors qu\u2019ils ont d\u00e9j\u00e0 mis en place les obligations impos\u00e9es par le RGPD au sein de leurs cabinets. Ils peuvent donc proposer une mission dans laquelle ils accompagnent leurs entreprises clientes \u00e0 mettre en place le RGPD \u00bb.<\/p>
        <\/p>
        C’est dans ce contexte que l’expert-comptable est amen\u00e9 \u00e0 la fois \u00e0 alerter ses clients sur leur conformit\u00e9 RGPD et \u00e0 leur proposer des prestations de service relatives \u00e0 la mise en conformit\u00e9 RGPD.<\/p>
        <\/p>"}},{"@type":"Question","name":"Qu\u2019implique la mise en conformit\u00e9 au RGPD pour le cabinet d\u2019expertise comptable ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>\n
        Le processus de mise en conformit\u00e9 au RGPD implique de respecter la mise en \u0153uvre de plusieurs mesures, notamment :<\/p>\n
        <\/p>\n
        <\/p>\n
        Constituer un registre des traitements des donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Il permet au cabinet d\u2019avoir une vision d\u2019ensemble sur les traitements de donn\u00e9es qu\u2019il r\u00e9alise. Le registre requiert de proc\u00e9der \u00e0 une identification des activit\u00e9s principales du cabinet ayant recours au traitement de donn\u00e9es personnelles, c\u2019est ce qu\u2019on appelle les traitements. L’expert-comptable responsable de traitement ou le sous-traitant doit ainsi proc\u00e9der \u00e0 la cr\u00e9ation d\u2019une fiche pour chaque traitement recens\u00e9, en indiquant notamment sa finalit\u00e9, c\u2019est-\u00e0-dire l\u2019objectif en vue duquel les donn\u00e9es sont trait\u00e9es par le cabinet.<\/p>\n
        <\/p>\n
        Enfin, le registre doit \u00eatre mis \u00e0 jour r\u00e9guli\u00e8rement car les cabinets peuvent \u00eatre amen\u00e9s \u00e0 changer de logiciels, \u00e0 faire \u00e9voluer leur organisation interne ou \u00e0 changer de sous-traitants. La protection des donn\u00e9es doit donc \u00eatre continue.<\/p>\n
        <\/p>\n
        A noter : Il est vivement conseill\u00e9 de confier la tenue du registre de traitements au d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es (DPD) \/ data protection officer (DPO) qui se chargera de sa mise \u00e0 jour r\u00e9guli\u00e8rement.<\/em><\/p>\n
        <\/p>\n
        <\/p>\n
        Trier les donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le cabinet doit se limiter \u00e0 la collecte des donn\u00e9es strictement n\u00e9cessaires au traitement. C\u2019est le principe de minimisation des donn\u00e9es. Ainsi, les donn\u00e9es ne doivent \u00eatre trait\u00e9es que si :<\/p>\n
        <\/p>\n
        <\/p>\n
        elles sont n\u00e9cessaires \u00e0 l\u2019activit\u00e9 de l\u2019organisme ;<\/li>\n
        <\/p>\n
        il ne s\u2019agit pas de donn\u00e9es dites \u00ab sensibles \u00bb, dans le cas contraire il convient de s\u2019assurer que le cabinet a bien le droit de les traiter ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont accessibles uniquement aux personnes habilit\u00e9es ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont conserv\u00e9es uniquement le temps n\u00e9cessaire et\/ou r\u00e8glementaire ;<\/li>\n
        <\/p>\n
        Respecter les droits des personnes. <\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le RGPD a pour objectif de renforcer la protection des donn\u00e9es des personnes. C\u2019est pourquoi il est venu conf\u00e9rer \u00e0 ces derni\u00e8res un certain nombre de droits, notamment le droit d\u2019acc\u00e8s, de rectification, d\u2019opposition, d\u2019effacement, le droit \u00e0 la limitation du traitement, \u00e0 la portabilit\u00e9. C\u2019est au responsable de traitement qu\u2019il appartient de mettre en place les mesures visant \u00e0 faire respecter ces droits.<\/p>\n
        <\/p>\n
        <\/p>\n
        S\u00e9curiser les donn\u00e9es personnelles<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le responsable de traitement doit prendre les mesures n\u00e9cessaires afin de garantir la s\u00e9curisation des donn\u00e9es personnelles en r\u00e9duisant les risques de violations de donn\u00e9es en respectant notamment les principes suivants :<\/p>\n
        <\/p>\n
        <\/p>\n
        Le principe de confidentialit\u00e9 : les donn\u00e9es doivent \u00eatre accessibles aux seules personnes autoris\u00e9es<\/li>\n
        <\/p>\n
        Le principe d\u2019int\u00e9grit\u00e9 : les donn\u00e9es ne doivent pas \u00eatre alt\u00e9r\u00e9es ou modifi\u00e9es<\/li>\n
        <\/p>\n
        Le principe de disponibilit\u00e9 : les donn\u00e9es doivent \u00eatre en permanence accessibles aux personnes autoris\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Si un organisme subi une violation de donn\u00e9es, il doit proc\u00e9der \u00e0 un signalement \u00e0 la CNIL dans les 72 heures suivant la violation, si celle-ci est susceptible de repr\u00e9senter un risque pour les droits et libert\u00e9s des personnes concern\u00e9es.<\/p>\n
        <\/p>\n
        <\/p>\n
        Respecter le principe d\u2019accountability<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Ce principe d\u00e9signe l\u2019obligation pour les cabinets de mettre en \u0153uvre des m\u00e9canismes et des proc\u00e9dures internes permettant de d\u00e9montrer le respect des r\u00e8gles relatives \u00e0 la protection des donn\u00e9es.<\/p>\n
        <\/p>\n
        En cas de contr\u00f4le de la CNIL, la cabinet doit donc \u00eatre en mesure de d\u00e9montrer sa conformit\u00e9 au RGPD et les mesures prises \u00e0 cet effet.<\/p>\n
        <\/p>\n
        <\/p>\n
        R\u00e9vision des pratiques, contrats et lettre de mission rgpd expert-comptable<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Dans le cadre du processus de mise en conformit\u00e9, il est \u00e9galement n\u00e9cessaire de modifier tous les contrats de prestation et les lettres de mission du cabinet. L\u2019Ordre des experts comptables recommande en ce sens de revoir les contrats clients en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>\n
        <\/p>\n
        \u00c9galement, il est d\u00e9sormais exclu de communiquer des bulletins de paie par email. Il convient dor\u00e9navant d\u2019utiliser une plateforme<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quelles sont les nouvelles responsabilit\u00e9s qu\u2019implique le RGPD pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Au-del\u00e0 des responsabilit\u00e9s inh\u00e9rentes \u00e0 la qualit\u00e9 de responsable de traitement, le RGPD implique de nouvelles responsabilit\u00e9s pour les experts-comptables. Tout d\u2019abord, ils voient leur responsabilit\u00e9 renforc\u00e9e en mati\u00e8re de devoir d\u2019information et de conseil, du fait de leur devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit offrir \u00e0 ses clients \u00ab des garanties suffisantes quant \u00e0 la mise en \u0153uvre de mesures techniques et organisationnelles appropri\u00e9es de mani\u00e8re \u00e0 ce que le traitement r\u00e9ponde aux exigences du pr\u00e9sent r\u00e8glement et garantisse la protection des droits de la personne concern\u00e9e \u00bb (Art.28 RGPD).<\/p>
        <\/p>
        Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        <\/p>\n
        Pour rappel, si vous agissez en tant que sous-traitant, c\u2019est-\u00e0-dire que vous traitez ou collectez des donn\u00e9es pour le compte d\u2019une autre entit\u00e9 (entreprise, collectivit\u00e9, association), vous avez des obligations sp\u00e9cifiques pour garantir la protection des donn\u00e9es qui vous sont confi\u00e9es.<\/p>\n
        <\/p>\n
        En vue d\u2019identifier cette qualification entre responsable de traitement, sous-traitant ou responsable conjoint, il convient donc de se poser les trois questions principales suivantes :<\/p>\n
        <\/p>\n
        \n
        Qui d\u00e9termine la finalit\u00e9 du traitement ?<\/li>\n\n
        Qui dispose du contr\u00f4le sur le traitement des donn\u00e9es personnelles ?<\/li>\n\n
        Qui d\u00e9termine les moyens essentiels du traitement ?<\/li>\n<\/ul>\n
        <\/p>\n
        Si pour chacune de ces questions, la r\u00e9ponse est le cabinet d\u2019expertise comptable, alors celui-ci est responsable du traitement.<\/p>\n
        <\/p>\n
        La responsabilit\u00e9 du cabinet et son obligation d\u2019information diff\u00e8rent en fonction de la qualification. Le CSOEC pr\u00e9conise d\u2019ailleurs \u00e0 ce sujet que l\u2019obligation d\u2019information des personnes physiques soit assum\u00e9e par le client lorsque le cabinet est co-responsable du traitement.<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quels sont les risques en cas de non-conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Depuis le 25 mai 2018, tout organisme qui ne respecte pas ses obligations en mati\u00e8re de protection des donn\u00e9es personnelles (RGPD et Loi Informatique et Libert\u00e9s) s\u2019expose \u00e0 des sanctions administratives et p\u00e9nales.<\/p>
        <\/p>
        A l’issue de contr\u00f4le ou de plaintes, en cas de m\u00e9connaissance des dispositions du RGPD ou de la loi de la part des responsables de traitement et des sous-traitants, la CNIL peut prononcer des sanctions \u00e0 l’\u00e9gard des responsables de traitements et\/ou de leurs sous-traitants qui ne respecteraient pas ces textes.<\/p>
        <\/p>
        Lorsque des manquements au RGPD ou \u00e0 la loi sont port\u00e9s \u00e0 sa connaissance, la CNIL peut :<\/p>
        <\/p>
        Prononcer un rappel \u00e0 l\u2019ordre ;<\/li>
        Enjoindre de mettre le traitement en conformit\u00e9, y compris sous astreinte ;<\/li>
        Limiter temporairement ou d\u00e9finitivement un traitement ;<\/li>
        Suspendre les flux de donn\u00e9es ;<\/li>
        Ordonner de satisfaire aux demandes d’exercice des droits des personnes, y compris sous astreinte ;<\/li>
        Prononcer une amende administrative qui peut \u00eatre rendue publique et dont le montant peut s\u2019\u00e9lever :<\/li>
        Jusqu\u2019\u00e0 2 % du chiffre d\u2019affaires mondial de l\u2019entreprise pour des manquements tels que l\u2019absence de registre de traitements, le d\u00e9faut d\u2019annonce suite \u00e0 une faille d\u00e9cel\u00e9e, le d\u00e9faut d\u2019\u00e9tude d\u2019impact sur la vie priv\u00e9e (en cas de donn\u00e9es sensibles), etc.<\/li>
        Jusqu\u2019\u00e0 4 % du chiffre d\u2019affaires mondial notamment en cas de refus d\u2019obtemp\u00e9rer aux injonctions de la CNIL, de traitements de donn\u00e9es ill\u00e9gaux, de d\u00e9faut de consentement, de non-respect des droits des personnes, etc.<\/li><\/ul>
        <\/p>
        \u00c9galement, toute personne concern\u00e9e par une violation de ses donn\u00e9es personnelles par le responsable de traitement et\/ou son sous-traitant, et ayant subi un dommage mat\u00e9riel ou moral du fait de cette violation, peut obtenir r\u00e9paration de son pr\u00e9judice notamment sous la forme de dommages et int\u00e9r\u00eats. En cas de contr\u00f4le de la CNIL, vous devez \u00eatre en mesure de garantir la protection des donn\u00e9es personnelles et de d\u00e9montrer les mesures prises \u00e0 cet effet.<\/p>
        <\/p>"}},{"@type":"Question","name":"Pourquoi se mettre en conformit\u00e9 au RGPD\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>\n
        Il est n\u00e9cessaire de se mettre en conformit\u00e9 au RGPD et ce pour plusieurs raisons.<\/p>\n
        <\/p>\n
        Tout d\u2019abord, il s\u2019agit d\u2019une obligation impos\u00e9e \u00e0 tout organisme, public ou priv\u00e9, traitant des donn\u00e9es personnelles d\u00e8s lors que celui-ci est \u00e9tabli sur le territoire de l\u2019Union europ\u00e9enne ou que son activit\u00e9 cible directement des r\u00e9sidents europ\u00e9ens.<\/p>\n
        <\/p>\n
        Ensuite, les organisations non conformes au RGPD s\u2019exposent \u00e0 de forts risques de sanctions dont notamment des amendes administratives pouvant s\u2019\u00e9lever \u00e0 hauteur de 2 ou 4% du chiffre d’affaires annuel mondial de l\u2019entreprise.<\/p>\n
        <\/p>\n
        Enfin, au-del\u00e0 d\u2019\u00eatre une obligation l\u00e9gale et r\u00e8glementaire et de constituer un risque accru de sanction, le RGPD est une v\u00e9ritable opportunit\u00e9 puisqu\u2019il permet de :<\/p>\n
        <\/p>\n
        <\/p>\n
        Valoriser la data en exploitant les donn\u00e9es de mani\u00e8re l\u00e9gale et qualitative<\/li>\n
        <\/p>\n
        Accro\u00eetre la confiance des clients, partenaires et prospects gr\u00e2ce \u00e0 la transparence<\/li>\n
        <\/p>\n
        Conforter et renforcer l\u2019image de marque du cabinet<\/li>\n
        <\/p>\n
        Acqu\u00e9rir de nouveaux clients et de nouveaux march\u00e9s<\/li>\n
        <\/p>\n
        Remporter des appels d\u2019offre (les acheteurs publics ont l\u2019obligation de v\u00e9rifier la conformit\u00e9 RGPD des soumissionnaires \u00e0 appel d\u2019offres)<\/li>\n
        <\/p>\n
        Am\u00e9liorer l\u2019organisation interne et renforcer la confiance des collaborateurs de l\u2019organisme<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        \u00catre conforme RGPD est donc primordial.<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quel est le r\u00f4le de l\u2019expert-comptable dans l\u2019accompagnement de ses clients en mati\u00e8re de conformit\u00e9 RGPD\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        En application de l’article 155 du D\u00e9cret du 30 mars 2012 relatif \u00e0 l’exercice de l’activit\u00e9 d’expertise comptable, les experts-comptables sont tenus \u00e0 un devoir d\u2019information et de conseil \u00e0 l\u2019\u00e9gard de leurs clients ou adh\u00e9rents.<\/p>
        <\/p>
        D\u00e8s lors, dans sa qualit\u00e9 et son devoir de conseil, le r\u00f4le de l\u2019expert comptable est de veiller \u00e0 ce que ses clients respectent le RGPD, notamment \u00e0 l\u2019occasion de ses missions d\u2019audits ou de l\u2019\u00e9laboration de propositions offres d\u2019accompagnement. Pour \u00e9viter tout cas de contentieux en d\u00e9faut d’information et de conseil, les experts-comptables doivent donc \u00e0 minima informer leurs clients de leur obligation \u00e0 se mettre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Un partenariat entre la CNIL et le CSOEC a \u00e9t\u00e9 conclu en ce sens en 2020 afin notamment de diffuser une culture de la protection des donn\u00e9es personnelles aupr\u00e8s des experts-comptables, \u00e0 la fois pour la mise en conformit\u00e9 de leur propre structure mais \u00e9galement dans leur r\u00f4le de proximit\u00e9 aupr\u00e8s des entreprises.<\/p>
        <\/p>
        En effet, les experts-comptables ont une connaissance approfondie des risques li\u00e9s \u00e0 l\u2019activit\u00e9 de leurs clients et ils constituent un interlocuteur privil\u00e9gi\u00e9 pour r\u00e9pondre aux besoins de mise en conformit\u00e9 de ces derniers. Le CSOEC estime ainsi que \u00ab Les experts-comptables sont comp\u00e9tents en mati\u00e8re de protection des donn\u00e9es personnelles d\u00e8s lors qu\u2019ils ont d\u00e9j\u00e0 mis en place les obligations impos\u00e9es par le RGPD au sein de leurs cabinets. Ils peuvent donc proposer une mission dans laquelle ils accompagnent leurs entreprises clientes \u00e0 mettre en place le RGPD \u00bb.<\/p>
        <\/p>
        C’est dans ce contexte que l’expert-comptable est amen\u00e9 \u00e0 la fois \u00e0 alerter ses clients sur leur conformit\u00e9 RGPD et \u00e0 leur proposer des prestations de service relatives \u00e0 la mise en conformit\u00e9 RGPD.<\/p>
        <\/p>"}},{"@type":"Question","name":"Qu\u2019implique la mise en conformit\u00e9 au RGPD pour le cabinet d\u2019expertise comptable ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>\n
        Le processus de mise en conformit\u00e9 au RGPD implique de respecter la mise en \u0153uvre de plusieurs mesures, notamment :<\/p>\n
        <\/p>\n
        <\/p>\n
        Constituer un registre des traitements des donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Il permet au cabinet d\u2019avoir une vision d\u2019ensemble sur les traitements de donn\u00e9es qu\u2019il r\u00e9alise. Le registre requiert de proc\u00e9der \u00e0 une identification des activit\u00e9s principales du cabinet ayant recours au traitement de donn\u00e9es personnelles, c\u2019est ce qu\u2019on appelle les traitements. L’expert-comptable responsable de traitement ou le sous-traitant doit ainsi proc\u00e9der \u00e0 la cr\u00e9ation d\u2019une fiche pour chaque traitement recens\u00e9, en indiquant notamment sa finalit\u00e9, c\u2019est-\u00e0-dire l\u2019objectif en vue duquel les donn\u00e9es sont trait\u00e9es par le cabinet.<\/p>\n
        <\/p>\n
        Enfin, le registre doit \u00eatre mis \u00e0 jour r\u00e9guli\u00e8rement car les cabinets peuvent \u00eatre amen\u00e9s \u00e0 changer de logiciels, \u00e0 faire \u00e9voluer leur organisation interne ou \u00e0 changer de sous-traitants. La protection des donn\u00e9es doit donc \u00eatre continue.<\/p>\n
        <\/p>\n
        A noter : Il est vivement conseill\u00e9 de confier la tenue du registre de traitements au d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es (DPD) \/ data protection officer (DPO) qui se chargera de sa mise \u00e0 jour r\u00e9guli\u00e8rement.<\/em><\/p>\n
        <\/p>\n
        <\/p>\n
        Trier les donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le cabinet doit se limiter \u00e0 la collecte des donn\u00e9es strictement n\u00e9cessaires au traitement. C\u2019est le principe de minimisation des donn\u00e9es. Ainsi, les donn\u00e9es ne doivent \u00eatre trait\u00e9es que si :<\/p>\n
        <\/p>\n
        <\/p>\n
        elles sont n\u00e9cessaires \u00e0 l\u2019activit\u00e9 de l\u2019organisme ;<\/li>\n
        <\/p>\n
        il ne s\u2019agit pas de donn\u00e9es dites \u00ab sensibles \u00bb, dans le cas contraire il convient de s\u2019assurer que le cabinet a bien le droit de les traiter ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont accessibles uniquement aux personnes habilit\u00e9es ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont conserv\u00e9es uniquement le temps n\u00e9cessaire et\/ou r\u00e8glementaire ;<\/li>\n
        <\/p>\n
        Respecter les droits des personnes. <\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le RGPD a pour objectif de renforcer la protection des donn\u00e9es des personnes. C\u2019est pourquoi il est venu conf\u00e9rer \u00e0 ces derni\u00e8res un certain nombre de droits, notamment le droit d\u2019acc\u00e8s, de rectification, d\u2019opposition, d\u2019effacement, le droit \u00e0 la limitation du traitement, \u00e0 la portabilit\u00e9. C\u2019est au responsable de traitement qu\u2019il appartient de mettre en place les mesures visant \u00e0 faire respecter ces droits.<\/p>\n
        <\/p>\n
        <\/p>\n
        S\u00e9curiser les donn\u00e9es personnelles<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le responsable de traitement doit prendre les mesures n\u00e9cessaires afin de garantir la s\u00e9curisation des donn\u00e9es personnelles en r\u00e9duisant les risques de violations de donn\u00e9es en respectant notamment les principes suivants :<\/p>\n
        <\/p>\n
        <\/p>\n
        Le principe de confidentialit\u00e9 : les donn\u00e9es doivent \u00eatre accessibles aux seules personnes autoris\u00e9es<\/li>\n
        <\/p>\n
        Le principe d\u2019int\u00e9grit\u00e9 : les donn\u00e9es ne doivent pas \u00eatre alt\u00e9r\u00e9es ou modifi\u00e9es<\/li>\n
        <\/p>\n
        Le principe de disponibilit\u00e9 : les donn\u00e9es doivent \u00eatre en permanence accessibles aux personnes autoris\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Si un organisme subi une violation de donn\u00e9es, il doit proc\u00e9der \u00e0 un signalement \u00e0 la CNIL dans les 72 heures suivant la violation, si celle-ci est susceptible de repr\u00e9senter un risque pour les droits et libert\u00e9s des personnes concern\u00e9es.<\/p>\n
        <\/p>\n
        <\/p>\n
        Respecter le principe d\u2019accountability<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Ce principe d\u00e9signe l\u2019obligation pour les cabinets de mettre en \u0153uvre des m\u00e9canismes et des proc\u00e9dures internes permettant de d\u00e9montrer le respect des r\u00e8gles relatives \u00e0 la protection des donn\u00e9es.<\/p>\n
        <\/p>\n
        En cas de contr\u00f4le de la CNIL, la cabinet doit donc \u00eatre en mesure de d\u00e9montrer sa conformit\u00e9 au RGPD et les mesures prises \u00e0 cet effet.<\/p>\n
        <\/p>\n
        <\/p>\n
        R\u00e9vision des pratiques, contrats et lettre de mission rgpd expert-comptable<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Dans le cadre du processus de mise en conformit\u00e9, il est \u00e9galement n\u00e9cessaire de modifier tous les contrats de prestation et les lettres de mission du cabinet. L\u2019Ordre des experts comptables recommande en ce sens de revoir les contrats clients en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>\n
        <\/p>\n
        \u00c9galement, il est d\u00e9sormais exclu de communiquer des bulletins de paie par email. Il convient dor\u00e9navant d\u2019utiliser une plateforme<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quelles sont les nouvelles responsabilit\u00e9s qu\u2019implique le RGPD pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Au-del\u00e0 des responsabilit\u00e9s inh\u00e9rentes \u00e0 la qualit\u00e9 de responsable de traitement, le RGPD implique de nouvelles responsabilit\u00e9s pour les experts-comptables. Tout d\u2019abord, ils voient leur responsabilit\u00e9 renforc\u00e9e en mati\u00e8re de devoir d\u2019information et de conseil, du fait de leur devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit offrir \u00e0 ses clients \u00ab des garanties suffisantes quant \u00e0 la mise en \u0153uvre de mesures techniques et organisationnelles appropri\u00e9es de mani\u00e8re \u00e0 ce que le traitement r\u00e9ponde aux exigences du pr\u00e9sent r\u00e8glement et garantisse la protection des droits de la personne concern\u00e9e \u00bb (Art.28 RGPD).<\/p>
        <\/p>
        Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        <\/p>\n
        Dans le cadre des missions r\u00e9alis\u00e9es par les experts comptables, cette question n\u00e9cessite une analyse au cas par cas. En effet, si les cabinets sont notamment responsables des traitements qu\u2019ils r\u00e9alisent sur les donn\u00e9es personnelles de leurs collaborateurs ; et que l\u2019on peut consid\u00e9rer, dans une certaine mesure, que les cabinets seraient plut\u00f4t qualifi\u00e9s de sous-traitants s\u2019agissant des missions relatives \u00e0 la paie et les missions sociales, et de responsables de traitement s\u2019agissant des missions comptables et de secr\u00e9tariat juridique. Il s\u2019av\u00e8re n\u00e9anmoins hasardeux de d\u00e9finir des missions types pour lesquelles le data controller cabinet comptable et d\u2019autres pour lesquelles ils seraient sous-traitants au sens du RGPD.<\/p>\n
        <\/p>\n
        Pour rappel, si vous agissez en tant que sous-traitant, c\u2019est-\u00e0-dire que vous traitez ou collectez des donn\u00e9es pour le compte d\u2019une autre entit\u00e9 (entreprise, collectivit\u00e9, association), vous avez des obligations sp\u00e9cifiques pour garantir la protection des donn\u00e9es qui vous sont confi\u00e9es.<\/p>\n
        <\/p>\n
        En vue d\u2019identifier cette qualification entre responsable de traitement, sous-traitant ou responsable conjoint, il convient donc de se poser les trois questions principales suivantes :<\/p>\n
        <\/p>\n
        \n
        Qui d\u00e9termine la finalit\u00e9 du traitement ?<\/li>\n\n
        Qui dispose du contr\u00f4le sur le traitement des donn\u00e9es personnelles ?<\/li>\n\n
        Qui d\u00e9termine les moyens essentiels du traitement ?<\/li>\n<\/ul>\n
        <\/p>\n
        Si pour chacune de ces questions, la r\u00e9ponse est le cabinet d\u2019expertise comptable, alors celui-ci est responsable du traitement.<\/p>\n
        <\/p>\n
        La responsabilit\u00e9 du cabinet et son obligation d\u2019information diff\u00e8rent en fonction de la qualification. Le CSOEC pr\u00e9conise d\u2019ailleurs \u00e0 ce sujet que l\u2019obligation d\u2019information des personnes physiques soit assum\u00e9e par le client lorsque le cabinet est co-responsable du traitement.<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quels sont les risques en cas de non-conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Depuis le 25 mai 2018, tout organisme qui ne respecte pas ses obligations en mati\u00e8re de protection des donn\u00e9es personnelles (RGPD et Loi Informatique et Libert\u00e9s) s\u2019expose \u00e0 des sanctions administratives et p\u00e9nales.<\/p>
        <\/p>
        A l’issue de contr\u00f4le ou de plaintes, en cas de m\u00e9connaissance des dispositions du RGPD ou de la loi de la part des responsables de traitement et des sous-traitants, la CNIL peut prononcer des sanctions \u00e0 l’\u00e9gard des responsables de traitements et\/ou de leurs sous-traitants qui ne respecteraient pas ces textes.<\/p>
        <\/p>
        Lorsque des manquements au RGPD ou \u00e0 la loi sont port\u00e9s \u00e0 sa connaissance, la CNIL peut :<\/p>
        <\/p>
        Prononcer un rappel \u00e0 l\u2019ordre ;<\/li>
        Enjoindre de mettre le traitement en conformit\u00e9, y compris sous astreinte ;<\/li>
        Limiter temporairement ou d\u00e9finitivement un traitement ;<\/li>
        Suspendre les flux de donn\u00e9es ;<\/li>
        Ordonner de satisfaire aux demandes d’exercice des droits des personnes, y compris sous astreinte ;<\/li>
        Prononcer une amende administrative qui peut \u00eatre rendue publique et dont le montant peut s\u2019\u00e9lever :<\/li>
        Jusqu\u2019\u00e0 2 % du chiffre d\u2019affaires mondial de l\u2019entreprise pour des manquements tels que l\u2019absence de registre de traitements, le d\u00e9faut d\u2019annonce suite \u00e0 une faille d\u00e9cel\u00e9e, le d\u00e9faut d\u2019\u00e9tude d\u2019impact sur la vie priv\u00e9e (en cas de donn\u00e9es sensibles), etc.<\/li>
        Jusqu\u2019\u00e0 4 % du chiffre d\u2019affaires mondial notamment en cas de refus d\u2019obtemp\u00e9rer aux injonctions de la CNIL, de traitements de donn\u00e9es ill\u00e9gaux, de d\u00e9faut de consentement, de non-respect des droits des personnes, etc.<\/li><\/ul>
        <\/p>
        \u00c9galement, toute personne concern\u00e9e par une violation de ses donn\u00e9es personnelles par le responsable de traitement et\/ou son sous-traitant, et ayant subi un dommage mat\u00e9riel ou moral du fait de cette violation, peut obtenir r\u00e9paration de son pr\u00e9judice notamment sous la forme de dommages et int\u00e9r\u00eats. En cas de contr\u00f4le de la CNIL, vous devez \u00eatre en mesure de garantir la protection des donn\u00e9es personnelles et de d\u00e9montrer les mesures prises \u00e0 cet effet.<\/p>
        <\/p>"}},{"@type":"Question","name":"Pourquoi se mettre en conformit\u00e9 au RGPD\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>\n
        Il est n\u00e9cessaire de se mettre en conformit\u00e9 au RGPD et ce pour plusieurs raisons.<\/p>\n
        <\/p>\n
        Tout d\u2019abord, il s\u2019agit d\u2019une obligation impos\u00e9e \u00e0 tout organisme, public ou priv\u00e9, traitant des donn\u00e9es personnelles d\u00e8s lors que celui-ci est \u00e9tabli sur le territoire de l\u2019Union europ\u00e9enne ou que son activit\u00e9 cible directement des r\u00e9sidents europ\u00e9ens.<\/p>\n
        <\/p>\n
        Ensuite, les organisations non conformes au RGPD s\u2019exposent \u00e0 de forts risques de sanctions dont notamment des amendes administratives pouvant s\u2019\u00e9lever \u00e0 hauteur de 2 ou 4% du chiffre d’affaires annuel mondial de l\u2019entreprise.<\/p>\n
        <\/p>\n
        Enfin, au-del\u00e0 d\u2019\u00eatre une obligation l\u00e9gale et r\u00e8glementaire et de constituer un risque accru de sanction, le RGPD est une v\u00e9ritable opportunit\u00e9 puisqu\u2019il permet de :<\/p>\n
        <\/p>\n
        <\/p>\n
        Valoriser la data en exploitant les donn\u00e9es de mani\u00e8re l\u00e9gale et qualitative<\/li>\n
        <\/p>\n
        Accro\u00eetre la confiance des clients, partenaires et prospects gr\u00e2ce \u00e0 la transparence<\/li>\n
        <\/p>\n
        Conforter et renforcer l\u2019image de marque du cabinet<\/li>\n
        <\/p>\n
        Acqu\u00e9rir de nouveaux clients et de nouveaux march\u00e9s<\/li>\n
        <\/p>\n
        Remporter des appels d\u2019offre (les acheteurs publics ont l\u2019obligation de v\u00e9rifier la conformit\u00e9 RGPD des soumissionnaires \u00e0 appel d\u2019offres)<\/li>\n
        <\/p>\n
        Am\u00e9liorer l\u2019organisation interne et renforcer la confiance des collaborateurs de l\u2019organisme<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        \u00catre conforme RGPD est donc primordial.<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quel est le r\u00f4le de l\u2019expert-comptable dans l\u2019accompagnement de ses clients en mati\u00e8re de conformit\u00e9 RGPD\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        En application de l’article 155 du D\u00e9cret du 30 mars 2012 relatif \u00e0 l’exercice de l’activit\u00e9 d’expertise comptable, les experts-comptables sont tenus \u00e0 un devoir d\u2019information et de conseil \u00e0 l\u2019\u00e9gard de leurs clients ou adh\u00e9rents.<\/p>
        <\/p>
        D\u00e8s lors, dans sa qualit\u00e9 et son devoir de conseil, le r\u00f4le de l\u2019expert comptable est de veiller \u00e0 ce que ses clients respectent le RGPD, notamment \u00e0 l\u2019occasion de ses missions d\u2019audits ou de l\u2019\u00e9laboration de propositions offres d\u2019accompagnement. Pour \u00e9viter tout cas de contentieux en d\u00e9faut d’information et de conseil, les experts-comptables doivent donc \u00e0 minima informer leurs clients de leur obligation \u00e0 se mettre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Un partenariat entre la CNIL et le CSOEC a \u00e9t\u00e9 conclu en ce sens en 2020 afin notamment de diffuser une culture de la protection des donn\u00e9es personnelles aupr\u00e8s des experts-comptables, \u00e0 la fois pour la mise en conformit\u00e9 de leur propre structure mais \u00e9galement dans leur r\u00f4le de proximit\u00e9 aupr\u00e8s des entreprises.<\/p>
        <\/p>
        En effet, les experts-comptables ont une connaissance approfondie des risques li\u00e9s \u00e0 l\u2019activit\u00e9 de leurs clients et ils constituent un interlocuteur privil\u00e9gi\u00e9 pour r\u00e9pondre aux besoins de mise en conformit\u00e9 de ces derniers. Le CSOEC estime ainsi que \u00ab Les experts-comptables sont comp\u00e9tents en mati\u00e8re de protection des donn\u00e9es personnelles d\u00e8s lors qu\u2019ils ont d\u00e9j\u00e0 mis en place les obligations impos\u00e9es par le RGPD au sein de leurs cabinets. Ils peuvent donc proposer une mission dans laquelle ils accompagnent leurs entreprises clientes \u00e0 mettre en place le RGPD \u00bb.<\/p>
        <\/p>
        C’est dans ce contexte que l’expert-comptable est amen\u00e9 \u00e0 la fois \u00e0 alerter ses clients sur leur conformit\u00e9 RGPD et \u00e0 leur proposer des prestations de service relatives \u00e0 la mise en conformit\u00e9 RGPD.<\/p>
        <\/p>"}},{"@type":"Question","name":"Qu\u2019implique la mise en conformit\u00e9 au RGPD pour le cabinet d\u2019expertise comptable ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>\n
        Le processus de mise en conformit\u00e9 au RGPD implique de respecter la mise en \u0153uvre de plusieurs mesures, notamment :<\/p>\n
        <\/p>\n
        <\/p>\n
        Constituer un registre des traitements des donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Il permet au cabinet d\u2019avoir une vision d\u2019ensemble sur les traitements de donn\u00e9es qu\u2019il r\u00e9alise. Le registre requiert de proc\u00e9der \u00e0 une identification des activit\u00e9s principales du cabinet ayant recours au traitement de donn\u00e9es personnelles, c\u2019est ce qu\u2019on appelle les traitements. L’expert-comptable responsable de traitement ou le sous-traitant doit ainsi proc\u00e9der \u00e0 la cr\u00e9ation d\u2019une fiche pour chaque traitement recens\u00e9, en indiquant notamment sa finalit\u00e9, c\u2019est-\u00e0-dire l\u2019objectif en vue duquel les donn\u00e9es sont trait\u00e9es par le cabinet.<\/p>\n
        <\/p>\n
        Enfin, le registre doit \u00eatre mis \u00e0 jour r\u00e9guli\u00e8rement car les cabinets peuvent \u00eatre amen\u00e9s \u00e0 changer de logiciels, \u00e0 faire \u00e9voluer leur organisation interne ou \u00e0 changer de sous-traitants. La protection des donn\u00e9es doit donc \u00eatre continue.<\/p>\n
        <\/p>\n
        A noter : Il est vivement conseill\u00e9 de confier la tenue du registre de traitements au d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es (DPD) \/ data protection officer (DPO) qui se chargera de sa mise \u00e0 jour r\u00e9guli\u00e8rement.<\/em><\/p>\n
        <\/p>\n
        <\/p>\n
        Trier les donn\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le cabinet doit se limiter \u00e0 la collecte des donn\u00e9es strictement n\u00e9cessaires au traitement. C\u2019est le principe de minimisation des donn\u00e9es. Ainsi, les donn\u00e9es ne doivent \u00eatre trait\u00e9es que si :<\/p>\n
        <\/p>\n
        <\/p>\n
        elles sont n\u00e9cessaires \u00e0 l\u2019activit\u00e9 de l\u2019organisme ;<\/li>\n
        <\/p>\n
        il ne s\u2019agit pas de donn\u00e9es dites \u00ab sensibles \u00bb, dans le cas contraire il convient de s\u2019assurer que le cabinet a bien le droit de les traiter ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont accessibles uniquement aux personnes habilit\u00e9es ;<\/li>\n
        <\/p>\n
        les donn\u00e9es sont conserv\u00e9es uniquement le temps n\u00e9cessaire et\/ou r\u00e8glementaire ;<\/li>\n
        <\/p>\n
        Respecter les droits des personnes. <\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le RGPD a pour objectif de renforcer la protection des donn\u00e9es des personnes. C\u2019est pourquoi il est venu conf\u00e9rer \u00e0 ces derni\u00e8res un certain nombre de droits, notamment le droit d\u2019acc\u00e8s, de rectification, d\u2019opposition, d\u2019effacement, le droit \u00e0 la limitation du traitement, \u00e0 la portabilit\u00e9. C\u2019est au responsable de traitement qu\u2019il appartient de mettre en place les mesures visant \u00e0 faire respecter ces droits.<\/p>\n
        <\/p>\n
        <\/p>\n
        S\u00e9curiser les donn\u00e9es personnelles<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Le responsable de traitement doit prendre les mesures n\u00e9cessaires afin de garantir la s\u00e9curisation des donn\u00e9es personnelles en r\u00e9duisant les risques de violations de donn\u00e9es en respectant notamment les principes suivants :<\/p>\n
        <\/p>\n
        <\/p>\n
        Le principe de confidentialit\u00e9 : les donn\u00e9es doivent \u00eatre accessibles aux seules personnes autoris\u00e9es<\/li>\n
        <\/p>\n
        Le principe d\u2019int\u00e9grit\u00e9 : les donn\u00e9es ne doivent pas \u00eatre alt\u00e9r\u00e9es ou modifi\u00e9es<\/li>\n
        <\/p>\n
        Le principe de disponibilit\u00e9 : les donn\u00e9es doivent \u00eatre en permanence accessibles aux personnes autoris\u00e9es<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Si un organisme subi une violation de donn\u00e9es, il doit proc\u00e9der \u00e0 un signalement \u00e0 la CNIL dans les 72 heures suivant la violation, si celle-ci est susceptible de repr\u00e9senter un risque pour les droits et libert\u00e9s des personnes concern\u00e9es.<\/p>\n
        <\/p>\n
        <\/p>\n
        Respecter le principe d\u2019accountability<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Ce principe d\u00e9signe l\u2019obligation pour les cabinets de mettre en \u0153uvre des m\u00e9canismes et des proc\u00e9dures internes permettant de d\u00e9montrer le respect des r\u00e8gles relatives \u00e0 la protection des donn\u00e9es.<\/p>\n
        <\/p>\n
        En cas de contr\u00f4le de la CNIL, la cabinet doit donc \u00eatre en mesure de d\u00e9montrer sa conformit\u00e9 au RGPD et les mesures prises \u00e0 cet effet.<\/p>\n
        <\/p>\n
        <\/p>\n
        R\u00e9vision des pratiques, contrats et lettre de mission rgpd expert-comptable<\/li>\n
        <\/p><\/ul>\n
        <\/p>\n
        Dans le cadre du processus de mise en conformit\u00e9, il est \u00e9galement n\u00e9cessaire de modifier tous les contrats de prestation et les lettres de mission du cabinet. L\u2019Ordre des experts comptables recommande en ce sens de revoir les contrats clients en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>\n
        <\/p>\n
        \u00c9galement, il est d\u00e9sormais exclu de communiquer des bulletins de paie par email. Il convient dor\u00e9navant d\u2019utiliser une plateforme<\/p>\n
        <\/p>"}},{"@type":"Question","name":"Quelles sont les nouvelles responsabilit\u00e9s qu\u2019implique le RGPD pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Au-del\u00e0 des responsabilit\u00e9s inh\u00e9rentes \u00e0 la qualit\u00e9 de responsable de traitement, le RGPD implique de nouvelles responsabilit\u00e9s pour les experts-comptables. Tout d\u2019abord, ils voient leur responsabilit\u00e9 renforc\u00e9e en mati\u00e8re de devoir d\u2019information et de conseil, du fait de leur devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 au RGPD.<\/p>
        <\/p>
        Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit offrir \u00e0 ses clients \u00ab des garanties suffisantes quant \u00e0 la mise en \u0153uvre de mesures techniques et organisationnelles appropri\u00e9es de mani\u00e8re \u00e0 ce que le traitement r\u00e9ponde aux exigences du pr\u00e9sent r\u00e8glement et garantisse la protection des droits de la personne concern\u00e9e \u00bb (Art.28 RGPD).<\/p>
        <\/p>
        Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des do<\/p>
        <\/p>"}},{"@type":"Question","name":"La d\u00e9signation d\u2019un DPO est-elle obligatoire\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD a instaur\u00e9 la fonction de D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPD) \/ Data Protection Officer (DPO). L\u2019article 37 du RGPD vise 3 situations dans lesquelles la d\u00e9signation d\u2019un DPO est obligatoire :<\/p>
        <\/p>
        Le traitement de donn\u00e9es personnelles est mis en \u0153uvre par une autorit\u00e9 publique ou un organisme public ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement de donn\u00e9es qui, du fait de leur nature, de leur port\u00e9e et\/ou de leur finalit\u00e9, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019individus ;<\/li>
        L\u2019entit\u00e9 concern\u00e9e a pour activit\u00e9s de base la mise en \u0153uvre de traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es (donn\u00e9es de sant\u00e9, relatives aux opinions philosophique, religieuses, etc.) ou de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou des infractions.<\/li><\/ul>
        <\/p>
        Si l\u2019un de ces trois crit\u00e8res est rempli, l\u2019entit\u00e9 concern\u00e9e a l\u2019obligation de d\u00e9signer un DPO. Si la d\u00e9signation d\u2019un DPO n\u2019est donc pas n\u00e9cessairement obligatoire, il est dans tous les cas vivement recommand\u00e9 de d\u00e9signer \u00e0 minima un r\u00e9f\u00e9rent RGPD parmi les collaborateur<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les avantages a d\u00e9signer un DPO\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        L\u2019AFCDP a \u00e9tabli une liste de 15 bonnes raisons de d\u00e9signer un DPO, \u00e0 savoir la d\u00e9signation d\u2019un DPO :<\/p>
        permet de r\u00e9duire le risque juridique<\/div><\/li>
        contribue \u00e0 un all\u00e8gement des formalit\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de b\u00e9n\u00e9ficier d\u2019une relation privil\u00e9gi\u00e9e avec la CNIL, avec des interlocuteurs d\u00e9di\u00e9s<\/div><\/li>
        permet \u00e0 une organisation de mettre en \u0153uvre plus rapidement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel<\/div><\/li>
        am\u00e9liore l\u2019image de marque de l\u2019organisation<\/div><\/li>
        contribue \u00e0 l\u2019am\u00e9lioration du climat social (gestion de la cybersurveillance)<\/div><\/li>
        favorise la mise en \u0153uvre d\u2019une approche qualit\u00e9 pour la gestion de l\u2019information au sein de l\u2019organisation (cartographie des traitements)<\/div><\/li>
        contribue \u00e0 am\u00e9liorer la politique de s\u00e9curit\u00e9 informatique de l\u2019organisation<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de traitement des informations (rationalisation des traitements, suppression des donn\u00e9es obsol\u00e8tes)<\/div><\/li>
        contribue \u00e0 r\u00e9duire les co\u00fbts de gestion client (exercice du droit d\u2019acc\u00e8s, gestion des litiges)<\/div><\/li>
        permet d\u2019identifier, donc de ma\u00eetriser, les co\u00fbts d\u00e9j\u00e0 engag\u00e9s pour la mise en conformit\u00e9 avec la r\u00e9glementation informatique et libert\u00e9s<\/div><\/li>
        permet une meilleure valorisation du patrimoine informationnel<\/div><\/li>
        facilite la mise en \u0153uvre de nouveaux services en ligne<\/div><\/li>
        permet de d\u00e9velopper la collaboration et les synergies entre services (juridique, informatique, marketing, \u2026)<\/div><\/li>
        facilite la coop\u00e9ration avec les groupes multinationaux qui disposent pour la plupart d\u2019un Chief Privacy Officier influent<\/div><\/li><\/ul>"}},{"@type":"Question","name":"Qu\u2019est-ce que le RGPD change pour les missions de l\u2019EC\u00a0?","acceptedAnswer":{"@type":"Answer","text":"
        <\/p>
        Le RGPD implique deux principaux changements dans l\u2019exercice des missions des experts-comptables. Tout d\u2019abord, les experts-comptables ont dor\u00e9navant le devoir d\u2019informer leurs clients quant \u00e0 l\u2019obligation d\u2019\u00eatre en conformit\u00e9 avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations sp\u00e9cifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur d\u00e9marche permanente de mise en conformit\u00e9.<\/p>
        <\/p>
        D\u00e8s lors, d\u00e8s qu\u2019un cabinet intervient en qualit\u00e9 de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformit\u00e9 \u00e0 certaines obligations pr\u00e9vues par le RGPD (analyses d\u2019impact, notification de violation, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits). Cela implique :<\/p>
        <\/p>
        Une obligation de transparence et de tra\u00e7abilit\u00e9<\/li>
        La prise en compte des principes de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/li>
        Une obligation de garantir la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es<\/li>
        Une obligation d\u2019assistance, d\u2019alerte et de conseil<\/li><\/ul>
        <\/p>
        C\u2019est dans ce contexte que l\u2019Ordre des experts comptables pr\u00e9conise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilit\u00e9 des traitements des donn\u00e9es personnelles.<\/p>
        <\/p>"}},{"@type":"Question","name":"Quels sont les registres RGPD obligatoires \u00e0 tenir pour les experts-comptables dans leur mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformit\u00e9, tels que le registre des traitements, le registre des violations de donn\u00e9es et le registre des sous-traitants. Ces registres permettent de documenter les donn\u00e9es personnelles trait\u00e9es, les finalit\u00e9s du traitement, les mesures de s\u00e9curit\u00e9 et les informations sur les sous-traitants impliqu\u00e9s dans le traitement de ces donn\u00e9es. Pour les aider dans leur mise en conformit\u00e9 au RGPD, les experts-comptables peuvent se r\u00e9f\u00e9rer \u00e0 un guide pratique RGPD pour comprendre les exigences et les obligations en mati\u00e8re de protection des donn\u00e9es."}},{"@type":"Question","name":"Comment assurer la conformit\u00e9 RGPD dans le processus d'imputation comptable pour les experts-comptables ?","acceptedAnswer":{"@type":"Answer","text":"
        L’imputation comptable rgpd implique souvent le traitement de donn\u00e9es personnelles sensibles, telles que des informations financi\u00e8res et fiscales. Pour assurer la conformit\u00e9 RGPD dans ce processus, les experts-comptables doivent s’assurer que les donn\u00e9es personnelles sont trait\u00e9es de mani\u00e8re l\u00e9gale, \u00e9quitable et transparente, avec un fondement juridique appropri\u00e9. Ils doivent \u00e9galement veiller \u00e0 ne traiter que les donn\u00e9es personnelles n\u00e9cessaires \u00e0 la finalit\u00e9 du traitement, \u00e0 prot\u00e9ger ces donn\u00e9es contre tout acc\u00e8s, divulgation ou perte non autoris\u00e9s, et \u00e0 assurer l’exactitude et la mise \u00e0 jour des donn\u00e9es personnelles trait\u00e9es. Les experts-comptables doivent \u00e9galement informer les personnes concern\u00e9es des finalit\u00e9s du traitement, des cat\u00e9gories de donn\u00e9es personnelles trait\u00e9es, des destinataires des donn\u00e9es et de leurs droits en mati\u00e8re de protection des donn\u00e9es. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de donn\u00e9es et nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, si n\u00e9cessaire.<\/p>"}},{"@type":"Question","name":"Protection des donn\u00e9es : imputation comptable des d\u00e9penses de mise en conformit\u00e9 au RGPD ?","acceptedAnswer":{"@type":"Answer","text":"Les d\u00e9penses li\u00e9es \u00e0 la mise en conformit\u00e9 au RGPD peuvent \u00eatre imput\u00e9es comptablement de diff\u00e9rentes mani\u00e8res, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles :\n\nCharges d’exploitation : certaines d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges d’exploitation courantes, telles que les frais de formation des employ\u00e9s, les co\u00fbts de communication avec les parties prenantes et les co\u00fbts de mise \u00e0 jour de la documentation juridique.\nInvestissements : les co\u00fbts li\u00e9s \u00e0 la mise \u00e0 niveau des syst\u00e8mes informatiques et de s\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme des investissements \u00e0 long terme, qui peuvent \u00eatre amortis sur plusieurs ann\u00e9es.\nCharges exceptionnelles : dans certains cas, les d\u00e9penses de mise en conformit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9es comme des charges exceptionnelles, qui peuvent \u00eatre imput\u00e9es sur une p\u00e9riode d\u00e9termin\u00e9e, comme un exercice comptable.\nIl est important de consulter un expert-comptable pour d\u00e9terminer l’imputation comptable la plus appropri\u00e9e pour les d\u00e9penses de mise en conformit\u00e9 au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales."}}]}
        
        Quels sont les registres RGPD obligatoires à tenir pour les experts-comptables dans leur mise en conformité au RGPD ?
        
        Les experts-comptables doivent tenir plusieurs registres RGPD dans leur mise en conformité, tels que le registre des traitements, le registre des violations de données et le registre des sous-traitants. Ces registres permettent de documenter les données personnelles traitées, les finalités du traitement, les mesures de sécurité et les informations sur les sous-traitants impliqués dans le traitement de ces données. Pour les aider dans leur mise en conformité au RGPD, les experts-comptables peuvent se référer à un guide pratique RGPD pour comprendre les exigences et les obligations en matière de protection des données.
        
        Comment assurer la conformité RGPD dans le processus d'imputation comptable pour les experts-comptables ?
        
        L’imputation comptable rgpd implique souvent le traitement de données personnelles sensibles, telles que des informations financières et fiscales. Pour assurer la conformité RGPD dans ce processus, les experts-comptables doivent s’assurer que les données personnelles sont traitées de manière légale, équitable et transparente, avec un fondement juridique approprié. Ils doivent également veiller à ne traiter que les données personnelles nécessaires à la finalité du traitement, à protéger ces données contre tout accès, divulgation ou perte non autorisés, et à assurer l’exactitude et la mise à jour des données personnelles traitées. Les experts-comptables doivent également informer les personnes concernées des finalités du traitement, des catégories de données personnelles traitées, des destinataires des données et de leurs droits en matière de protection des données. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de données et nommer un délégué à la protection des données, si nécessaire.
        
        Protection des données : imputation comptable des dépenses de mise en conformité au RGPD ?
        
        Les dépenses liées à la mise en conformité au RGPD peuvent être imputées comptablement de différentes manières, en fonction de leur nature et de la structure de l’entreprise. Voici quelques exemples d’imputations comptables possibles : Charges d’exploitation : certaines dépenses de mise en conformité peuvent être considérées comme des charges d’exploitation courantes, telles que les frais de formation des employés, les coûts de communication avec les parties prenantes et les coûts de mise à jour de la documentation juridique. Investissements : les coûts liés à la mise à niveau des systèmes informatiques et de sécurité peuvent être considérés comme des investissements à long terme, qui peuvent être amortis sur plusieurs années. Charges exceptionnelles : dans certains cas, les dépenses de mise en conformité peuvent être considérées comme des charges exceptionnelles, qui peuvent être imputées sur une période déterminée, comme un exercice comptable. Il est important de consulter un expert-comptable pour déterminer l’imputation comptable la plus appropriée pour les dépenses de mise en conformité au RGPD, en fonction de la structure de l’entreprise et des exigences comptables locales.
        
        Twitter Linkedin Youtube
        
        Téléphone
        
        E-mail
        
        Navigation :
        
        Accueil
        
        Notre Vision
        
        Notre Modèle
        
        Notre Communauté
        
        Nous Rejoindre
        
        Actualités RGPD
        
        Nos Métiers :
        
        Accompagnement RGPD
        
        Logiciel RGPD
        
        Formation RGPD
        
        Externalisation RGPD
        
        Infos Légales :
        
        Mentions légales
        
        C.G.V
        
        Politique de confidentialités
        
        Gestion de Cookies
        
        Nos Métiers :
        
        Conseil RGPD
        
        Accompagnement RGPD
        
        Assistance RGPD Hotline
        
        Contrôle RGPD
        
        Diagnostic RGPD
        
        Externalisation RGPD
        
        DPO en Régie
        
        DPO Externe
        
        DPO de Remplacement
        
        Logiciel RGPD
        
        Data Room RGPD
        
        Gestion Consentement RGPD
        
        Registre RGPD
        
        RGPD par Secteurs d'Activités :
        
        RGPD Agence Web
        
        RGPD Hotellerie
        
        RGPD Santé Social Médico-Social
        
        RGPD Secteur Public
        
        RGPD Enseignement Recherche
        
        RGPD DRH et Recrutement
        
        RGPD Commerce et Grande Distribution
        
        RGPD Collectivités
        
        RGPD Expert-Comptable
        
        RGPD Assurance
        
        RGPD Banque Finance
        
        Twitter Linkedin Youtube Facebook Instagram
        
        Téléphone
        
        E-mail
        
        Conseil RGPD
        
        Diagnostic RGPD
        
        Audit RGPD
        
        PIA - AIPD
        
        Accompagnement RGPD
        
        Contrôle RGPD
        
        E-Assistance RGPD
        
        Externalisation RGPD
        
        DPO Externe
        
        DPO en Régie
        
        DPO de Remplacement
        
        DPO Mutualisé
        
        Logiciel RGPD
        
        Registre RGPD
        
        Gestion Consentement RGPD
        
        Data Room RGPD
        
        Expertise
        
        Conformité RGPD
        
        Mise en conformité
        
        Maintien de conformité
        
        Réglementation NIS 2
        
        Réglementation DORA
        
        Ecosystème RGPD
        
        Expert conformité
        
        Manager de conformité
        
        Chargé de conformité
        
        Partenaires RGPD
        
        Accompagnement près de chez vous
        
        Paris
        
        Marseille
        
        Montpellier
        
        Rennes
        
        Lille
        
        Lyon
        
        Accompagnement près de chez vous
        
        Nantes
        
        Aix-en-provence
        
        Bordeaux
        
        Guadeloupe
        
        La Réunion
        
        Voir plus
        
        Conformité dans votre secteur
        
        Santé et Médico-social
        
        Banque et Finance
        
        Assurance
        
        Hôtellerie
        
        Expert comptable
        
        Voir plus
        
        Navigation
        
        Accueil
        
        Notre Vision
        
        Notre Modèle
        
        Notre Communauté
        
        Nous Rejoindre
        
        Actualités RGPD
        
        Coaching DPO
        
        Infos Légales
        
        Mentions légales
        
        C.G.V
        
        Politique de confidentialités
        
        Gestion de Cookies
        
        Le programme de modernisation du logiciel métier de la SAS « MY DATA SOLUTION » est cofinancé par l’Union Européenne et la Région Réunion
        
        🇫🇷 My Data Solution est hébergé, conçu et développé en France
        
        contactez un expert

Conformité RGPD Expert Comptable

N°1 de la conformité RGPD pour les Experts Comptable

Optez pour une solution clé en main pour votre conformité RGPD

Nos clients

+ de 400 clients nous ont fait confiance

Recommandations Clients

Jérôme C. Moutien

Richard Lin

L'ordre des experts comptable

rgpd ordre des experts-comptables

Le partenaire de confiance du Conseil de l’Ordre

Conformité RGPD Expert Comptable

Évitez les sanctions pour vous et vos clients

Conformité RGPD Expert Comptable

Respectez votre devoir de conseil envers vos clients

Créez de nouvelles opportunités

Consolidez une image de marque durable

Renforcer la confiance dans vos relations professionnelles

Sécurisez votre devoir de conseil en tant que sous-traitant

Conformité RGPD Expert Comptable

Pourquoi faire appel à My Data Solution pour le conseil RGPD ?

Une expertise avérée pour une conformité RGPD garantie

Gagnez du temps

Facilitez votre mise en conformité avec notre solution Registre

Mise en conformité expert comptable

Des offres pensées pour les experts comptables

Autonomie

Confort

Sur-mesure

Un groupe, 4 métiers, 4 marques

Découvrez l’ensemble de nos offres et savoir-faire

My Data Solution vous propose, grâce à son offre d’externalisation, efficacité, souplesse, maîtrise des risques

Vos questions sur la RGPD pour le secteur des Experts Comptable

Foires aux questions RGPD Expert Comptable

Navigation :

Nos Métiers :

Infos Légales :

Nos Métiers :

RGPD par Secteurs d'Activités :

Respectez votre devoir de conseil
envers vos clients