RGPD et expert-comptable : guide pratique du cabinet

Un cabinet d’expertise comptable traite, pour chaque client, des volumes très élevés de données personnelles : fiches de paie, coordonnées bancaires, justificatifs fiscaux, identités des dirigeants, données salariés, parfois données de santé via les arrêts maladie. Dans les audits que je mène auprès de cabinets, je constate un même schéma : le cabinet se sait responsable de traitement pour ses propres salariés et dossiers internes, mais gère mal son statut de sous-traitant vis-à-vis des clients. Or, c’est là que se cristallise le risque RGPD. Voici ce qu’il faut comprendre et mettre en place.

La spécificité RGPD du cabinet comptable : une double casquette

Un cabinet d’expertise comptable porte deux statuts RGPD à la fois, et les confondre expose à des manquements significatifs.

Pour ses propres données, le cabinet est responsable de traitement au sens de l’Art. 4(7) du RGPD. Cela concerne les données de ses salariés, de ses candidats, de ses fournisseurs, de ses prospects, de la gestion interne du cabinet (logiciels métier, outils RH, comptabilité interne).

Pour les données de ses clients, le cabinet est en principe sous-traitant au sens de l’Art. 4(8). Il traite les données pour le compte du client — entreprise cliente ou employeur — qui reste responsable de traitement. Les paies établies pour les salariés d’une PME cliente, les données des fournisseurs saisies dans les écritures comptables, les justificatifs TVA : tous ces traitements sont effectués pour le compte du client. La CNIL l’a rappelé à plusieurs reprises, et le Conseil supérieur de l’Ordre des experts-comptables (CSOEC) a publié des guides de conformité allant dans le même sens.

Cette qualification en sous-traitant emporte des conséquences fortes. Le client peut — et doit — imposer au cabinet un contrat conforme à l’Art. 28 du RGPD, avec notamment des clauses sur la confidentialité, les mesures de sécurité, le recours à des sous-traitants ultérieurs (logiciel de paie en SaaS, hébergement cloud), la notification des violations, l’assistance aux droits des personnes. En pratique, très peu de cabinets adressent spontanément un accord de sous-traitance (DPA) à leurs clients au démarrage de la mission. C’est la première non-conformité à corriger.

Attention à la nuance : certaines missions placent l’expert-comptable en responsable conjoint (Art. 26) ou en responsable de traitement autonome. C’est le cas, par exemple, de la mission de commissariat aux comptes exercée par le même professionnel : l’indépendance du commissaire aux comptes exclut la qualification de sous-traitant. Même logique pour certaines obligations déclaratives propres (déclaration TRACFIN, responsabilité déontologique : le cabinet agit pour son propre compte et reste responsable de traitement).

Le secret professionnel de l’expert-comptable et le RGPD

L’article 21 de l’ordonnance n° 45-2138 du 19 septembre 1945 impose au cabinet un secret professionnel, sanctionné pénalement via l’article 226-13 du Code pénal. Ce secret est plus large que la confidentialité contractuelle : il couvre tout ce que le professionnel apprend à l’occasion de ses missions.

Le secret professionnel et le RGPD se superposent sans se substituer l’un à l’autre. Le RGPD encadre la licéité, la finalité, la durée, la sécurité des traitements. Le secret professionnel encadre la divulgation. Respecter l’un ne dispense pas de respecter l’autre. Dans la pratique, cela se traduit par plusieurs exigences concrètes :

• Les clauses de confidentialité des contrats de travail des collaborateurs doivent renvoyer à l’article 226-13 et au règlement intérieur du cabinet.
• La charte informatique doit interdire les communications de données clients via des canaux personnels (email perso, WhatsApp, clé USB non chiffrée).
• Les réponses aux demandes de droit d’accès émanant de tiers (par exemple un ex-conjoint d’un chef d’entreprise client) doivent être analysées à la lumière du secret professionnel avant toute transmission.

Les bases légales à mobiliser

La base légale d’un traitement dans un cabinet comptable dépend du sous-ensemble concerné.

Pour les missions d’expertise comptable (tenue, révision, établissement des comptes annuels, paie, déclarations fiscales et sociales) : Art. 6(1)© (obligation légale — le client a une obligation de tenir sa comptabilité, d’établir ses bulletins de paie, de déclarer la TVA) ou Art. 6(1)(b) (exécution du contrat entre le client et ses salariés, ses fournisseurs, son administration). Le cabinet, en sous-traitant, n’a pas à choisir lui-même cette base légale — elle est définie par le client. Mais le cabinet doit s’assurer qu’une base légale existe bien chez le client.

Pour les données salariés du cabinet lui-même (CV, contrats, paies, évaluations) : Art. 6(1)(b) (exécution du contrat de travail) et Art. 6(1)© (obligations légales sociales et fiscales). Le traitement de santé éventuel (arrêts maladie, médecine du travail) s’appuie sur Art. 9(2)(b) (droit de la sécurité sociale et du travail) ou Art. 9(2)(h) si la médecine du travail est internalisée.

Pour la prospection commerciale et la communication du cabinet (newsletters, invitations à des webinaires, prospection d’anciens clients) : Art. 6(1)(a) (consentement) ou Art. 6(1)(f) (intérêt légitime) selon le canal et le public, en respectant les règles de la loi Informatique et Libertés consolidées (article 82) et de la directive ePrivacy. Pour la prospection B2B par email, l’intérêt légitime est généralement admis vers une adresse professionnelle nominative (jean.dupont@pme.fr) en lien avec la fonction démarchée, avec opposition facile et information claire.

Pour les obligations anti-blanchiment (LCB-FT) et la déclaration TRACFIN : Art. 6(1)© (obligation légale spécifique prévue par le Code monétaire et financier). Les informations collectées à ce titre font l’objet d’un régime particulier : conservation 5 ans, confidentialité renforcée, interdiction d’informer le client de la déclaration. C’est un traitement à documenter dans le registre.

Les sous-traitants et outils du cabinet : Art. 28 systématiquement

Un cabinet moderne s’appuie sur une pile logicielle importante : logiciel de tenue (Sage, Cegid, ACD, RCA, Pennylane…), logiciel de paie (Silae, PayFit, Sage Paie…), GED, coffre-fort numérique, outil de collecte de pièces (Dext, Receipt Bank, iPaidThat…), signature électronique, messagerie, hébergement cloud, espace client en ligne. Chacun de ces prestataires, pour la grande majorité, est sous-traitant ultérieur au sens de l’Art. 28(2) du RGPD.

Le cabinet doit tenir une cartographie à jour de ces sous-traitants, vérifier leur contrat, s’assurer qu’ils disposent de mesures de sécurité adéquates, et informer ses clients (par exemple dans un DPA annexé à la lettre de mission) de la liste des sous-traitants utilisés. Toute substitution de sous-traitant ultérieur impose une information préalable du client avec un droit d’objection. Dans mes audits, c’est un point quasi systématiquement en défaut : la liste des sous-traitants n’est ni maintenue ni communiquée.

Les bonnes pratiques :

• Formaliser une lettre de mission ou un contrat-cadre avec annexe RGPD (DPA) reprenant les clauses de l’Art. 28.
• Tenir un registre des sous-traitants avec coordonnées, finalité, localisation des données, niveau de sécurité, date du contrat.
• Vérifier les transferts hors UE : de nombreux outils stockent ou répliquent des données aux États-Unis (Microsoft 365, Google Workspace, solutions d’e-signature américaines). Le mécanisme de transfert — Data Privacy Framework, clauses contractuelles types, mesures supplémentaires — doit être identifié.
• Privilégier, quand c’est possible, des solutions hébergées en France ou en UE pour les données sensibles (bulletins de paie, identifiants bancaires, données de santé présentes sur les arrêts).

Les durées de conservation : tableau cabinet comptable

Les durées de conservation dans un cabinet comptable sont un patchwork d’obligations légales spécifiques. Voici le cadre de référence que j’utilise en audit.

Catégorie	Durée	Fondement
Comptabilité générale, livres et pièces justificatives	10 ans	Art. L. 123-22 Code de commerce
Déclarations fiscales et pièces liées	6 ans	Art. L. 102 B LPF
Bulletins de paie (support par l’employeur)	5 ans	Art. L. 3243-4 Code du travail
Double du bulletin de paie dématérialisé par le cabinet	Jusqu’à l’âge légal de la retraite du salarié + 5 ans (ou 50 ans)	Pratique CNIL, préservation des droits du salarié
Dossiers permanents clients	Durée de la mission + 10 ans	CSOEC, obligations ordinales
Dossiers anti-blanchiment (LCB-FT)	5 ans à compter de la fin de la relation	Art. L. 561-12 CMF
CV de candidats non retenus	Maximum 2 ans sauf consentement	Délibération CNIL
Prospection commerciale (B2B/B2C)	3 ans à compter du dernier contact	Recommandation CNIL
Logs de connexion aux applications métier	6 mois à 1 an	Recommandations CNIL

Ces durées doivent être inscrites dans le registre et, pour les données clients, dans les clauses du DPA. Les dépasser sans justification expose le cabinet à une sanction sur le principe de minimisation (Art. 5(1)©) et de limitation de la conservation (Art. 5(1)(e)).

Faut-il désigner un DPO ?

La désignation d’un délégué à la protection des données est obligatoire quand les activités de base du responsable ou du sous-traitant consistent en un suivi régulier et systématique à grande échelle, ou en un traitement à grande échelle de données sensibles (Art. 37(1)(b) et ©).

Un cabinet traitant les paies et dossiers sociaux de dizaines d’entreprises clientes, pour des centaines voire des milliers de salariés finaux, est concerné par l’appréciation du « grande échelle ». Le G29, dans ses lignes directrices WP 243 rev. 01, retient plusieurs critères : nombre de personnes concernées, volume de données, durée, étendue géographique. Un cabinet régional moyen atteint facilement ces seuils.

Dans la pratique :

• En dessous de 10-15 clients et quelques dizaines de bulletins/mois, la désignation d’un DPO n’est pas strictement obligatoire, mais reste recommandée.
• Au-delà, l’analyse penche vers une obligation de désignation au sens de l’Art. 37.
• Le DPO peut être interne (un associé ou un collaborateur avec une formation solide et la disponibilité nécessaire) ou externe (DPO mutualisé via un cabinet spécialisé).

La question n’est donc pas « avons-nous un DPO obligatoirement » mais plutôt « si nous en avons un, en tire-t-on pleinement parti ». Voir le guide détaillé DPO obligatoire pour l’analyse au cas par cas.

Sécurité : les mesures non négociables

Le cabinet d’expertise comptable est une cible de choix pour les attaques par rançongiciel et les fraudes au président. La sécurité des données n’est pas optionnelle — elle est directement exigée par l’Art. 32 du RGPD. Les mesures minimales que je recommande systématiquement :

• Authentification multi-facteurs sur tous les accès aux logiciels métier, à la messagerie, au VPN, à l’espace client.
• Chiffrement des postes de travail et des sauvegardes (BitLocker, FileVault), ainsi que des pièces jointes sensibles en cas d’échange hors espace client sécurisé.
• Sauvegarde 3-2-1 : trois copies, sur deux supports différents, dont une hors site et déconnectée du réseau.
• Gestion des accès : le principe du moindre privilège, revue semestrielle des droits, retrait immédiat des accès des partants.
• Sensibilisation phishing au moins annuelle, idéalement avec simulations. Les cabinets sont ciblés par de faux emails de dirigeants ou de l’administration fiscale.
• Journalisation des accès aux dossiers clients, conservée 6 mois minimum, pour pouvoir tracer une anomalie en cas d’incident.
• Plan de reprise d’activité documenté, testé au moins une fois par an.

En cas de violation (rançongiciel, compromission de messagerie, perte d’un ordinateur portable), le cabinet doit notifier la CNIL dans les 72 heures si la violation présente un risque — ce qui est presque toujours le cas avec des données fiscales, sociales ou bancaires.

Les droits des personnes : qui répond quoi

La gestion des droits est souvent confuse en cabinet, parce que les personnes concernées ne sont pas toujours les clients du cabinet : ce sont leurs salariés, leurs fournisseurs, leurs clients.

Pour les demandes portant sur des données traitées pour le compte d’un client (par exemple un salarié d’une PME cliente qui demande une copie de ses bulletins de paie), la règle est la suivante : le cabinet transmet la demande au client responsable de traitement, et assiste ce dernier dans la réponse (Art. 28(3)(e)). Le cabinet n’a pas à répondre directement sauf mandat explicite.

Pour les demandes portant sur les données propres du cabinet (salarié du cabinet, candidat, ancien prospect), le cabinet répond directement dans le délai d’un mois, éventuellement prolongeable de deux mois (Art. 12(3)).

Cette articulation doit être formalisée dans la lettre de mission et diffusée dans le guide interne du cabinet pour que tout collaborateur sache qui fait quoi. Voir les guides pratiques sur le droit d’accès et le droit à l’effacement.

Checklist conformité cabinet comptable

Voici la checklist que j’utilise en audit. Elle constitue le seuil minimal de conformité attendu par la CNIL.

• Registre des activités de traitement tenu, à jour, avec volet « responsable de traitement » et volet « sous-traitant ».
• Lettre de mission standard avec annexe RGPD (DPA conforme à l’Art. 28) proposée à tous les clients.
• Cartographie des sous-traitants avec coordonnées, localisation, base juridique du transfert hors UE le cas échéant.
• Politique de sécurité des systèmes d’information (PSSI) documentée, signée par la direction, revue annuellement.
• Charte informatique annexée au règlement intérieur, acceptée par tous les collaborateurs.
• Durées de conservation documentées par catégorie, avec purges automatisées ou au moins planifiées.
• Procédure de notification de violation avec circuit d’alerte interne défini.
• Procédure de réponse aux droits des personnes, avec modèle de réponse et registre des demandes.
• Désignation d’un DPO (interne ou externe) et inscription auprès de la CNIL si obligatoire.
• Formation annuelle obligatoire des collaborateurs, avec émargement conservé.
• Clauses de confidentialité et obligation de secret professionnel dans tous les contrats de travail et contrats de prestataires.
• Information RGPD des personnes (salariés du cabinet, candidats, prospects, clients) fournie au sens de l’Art. 13, avec preuve de diffusion.

Construire ce socle demande un investissement initial de quelques dizaines d’heures pour un cabinet de taille moyenne, puis une maintenance continue modeste. C’est ce type de travail que Legiscope automatise, en structurant le registre, les DPA et la veille réglementaire dans un environnement unique.

Ce qu’il faut retenir

• Un cabinet d’expertise comptable porte une double casquette RGPD : responsable de traitement pour ses propres données, sous-traitant au sens de l’Art. 28 pour les données clients. Cette dualité structure toute la conformité.
• Le secret professionnel de l’article 21 de l’ordonnance de 1945 et le RGPD se cumulent : leurs exigences doivent être traitées conjointement, pas séparément.
• Les durées de conservation obéissent à un patchwork d’obligations légales (10 ans Code de commerce, 6 ans LPF, 5 ans LCB-FT, 50 ans paie) qu’il faut cartographier précisément.
• Un DPO est généralement obligatoire dès qu’un cabinet traite les paies et dossiers sociaux à grande échelle, au sens des lignes directrices WP 243 rev. 01.
• La sécurité informatique (MFA, chiffrement, sauvegardes, sensibilisation phishing) n’est pas une bonne pratique : c’est une obligation de l’Art. 32, dont le manquement est sanctionné.

FAQ

Un expert-comptable est-il sous-traitant ou responsable de traitement ?

Pour les données qu’il traite pour le compte de ses clients (paies, comptabilité, déclarations), il est en principe sous-traitant au sens de l’Art. 4(8) du RGPD. Pour ses propres données (salariés, candidats, prospects) et pour certaines missions autonomes comme le commissariat aux comptes ou la déclaration TRACFIN, il est responsable de traitement.

Un cabinet doit-il obligatoirement nommer un DPO ?

Pas systématiquement, mais la plupart des cabinets qui gèrent des paies et dossiers sociaux pour plusieurs dizaines de clients atteignent le seuil de « grande échelle » de l’Art. 37(1)(b) et doivent désigner un DPO. Le DPO peut être interne ou externe (DPO mutualisé).

Combien de temps conserver les bulletins de paie établis pour un client ?

L’employeur — donc le client — doit les conserver 5 ans au titre de l’Art. L. 3243-4 du Code du travail. Le cabinet qui produit le bulletin pour son compte conserve en général un double sur une durée plus longue (50 ans ou jusqu’à l’âge de la retraite + 5 ans, par prudence, pour préserver les droits à reconstitution de carrière du salarié).

Faut-il un accord de sous-traitance (DPA) avec chaque client ?

Oui. L’Art. 28(3) du RGPD impose un contrat écrit entre responsable et sous-traitant, couvrant toutes les clauses obligatoires (finalités, durée, sécurité, sous-traitants ultérieurs, assistance aux droits, notification des violations, sort des données en fin de mission). En pratique, il prend la forme d’une annexe RGPD à la lettre de mission.