Le RGPD, à savoir la nouvelle réglementation européenne qui, à partir du 25 mai, renforcera considérablement la législation relative à la protection de la vie privée, fait grand bruit. Tout le monde en a déjà entendu parler, mais pratiquement personne ne sait de quoi il retourne exactement. Dans cet article, nous répondons à 5 questions qui vous permettront d’en savoir plus sur le RGPD .
Comment être RGPD compliant en tant que comptables et experts-comptables ?
Etre en possession d’un mandat
Ce mandat vous permettra, sur base d’un accord, de faire traiter les données personnelles de vos clients par d'autres, par exemple la caisse d’assurance sociale. Le traitement signifie, entre autres, que vous pouvez transférer ces données et les faire conserver par d'autres parties.
Notez que tout bureau, qu’il soit de petite ou de grande taille, est tenu de disposer des mandats requis.
Préciser l’objectif du mandat
Il s’agit de la mission à effectuer pour votre client, par exemple, exécuter les tâches comptables et fiscales de ce client . Celle-ci consiste en l’occurrence à gérer la comptabilité du client en ses lieu et place. Ce mandat vise donc toutes les données à caractère personnel et le traitement de ces dernières, nécessaires à l’exécution de votre mission en tant que comptable ou expert-comptable.
Vous ne pouvez dès lors traiter et conserver que les données à caractère personnel nécessaires à l’exécution correcte de votre mission. Dans le cas de la caisse d'assurance sociale, vous pouvez inclure la gestion du statut social.
Tenir un registre des activités de traitement
Celui-ci devra comporter les informations suivantes :
• la base juridique ou le motif vous autorisant à traiter les données ;
• les finalités du traitement
• les catégories de données à caractère personnel et de personnes concernées ;
• la source dont émanent les données à caractère personnel ;
• les destinataires auxquels les données à caractère personnel seront transmises ;
• la durée de conservation ainsi que le délai d’effacement des données à caractère personnel ;
• le nom et les coordonnées du responsable du traitement et/ou du sous-traitant
Ce registre peut également contenir les mesures de sécurité qui seront mises en œuvre dans le cadre du RGPD. Vous devrez également conclure un contrat de sous-traitance avec votre fournisseur de logiciels. Les prestataires de services qui ont accès aux données à caractère personnel de vos clients ne peuvent en aucun cas exploiter ces informations à des fins personnelles.
Il n’existe aucune directive stricte concernant la présentation du registre des activités de traitement. Il peut par exemple être établi à l’aide d’Excel.
Vos clients disposent d’un droit d’accès
Par conséquent, ils peuvent, par exemple, vous demander de pouvoir consulter les données à caractère personnel en votre possession. Pour cela, il vous suffit de leur remettre une copie des données les concernant. Celles-ci doivent être communiquées aux clients dans un délai de 30 jours et en principe, aucun paiement de frais ne peut être demandé.
Informez vos collaborateurs des mesures mises en œuvre
Communiquez-leur suffisamment d’informations et sensibilisez-les à la protection de la vie privée.
Comment prouver que vous répondez aux exigences RGPD ou que vous mettez tout en œuvre pour être en ordre ?
Dès le 25 mai vous devrez être en mesure de prouver que les démarches pour vous mettre en conformité avec le RGPD sont en cours.
Les 3 étapes importantes ici sont :
- le registre de traitement
- l'accord de traitement
- le fait que vous en informiez vos employés.
Vous pouvez élaborer un formulaire récapitulant les mesures mises en œuvre. Cet aperçu constituera une documentation certes utile, mais légalement insuffisante. Vous devrez dès lors être réellement en mesure de fournir la preuve des démarches concrètes en cours. L’état d’avancement de votre registre devra, par exemple, pouvoir être démontré.
Quelles mesures prendre lorsque vous collaborez avec d’autres parties ?
Lorsque des clients solliciteront des conseils au sujet de prêts, d’assurances, de crédits..., vous ne pourrez plus, à partir du 25 mai, communiquer, sans leur consentement, les données à caractère personnel les concernant aux banques, assureurs - bref aux tiers - afin que ces derniers puissent prendre contact avec eux.
En principe, vous devrez transmettre les coordonnées de ces tiers à vos clients de manière à ce qu’ils prennent eux-mêmes l’initiative de les contacter. Vous pourrez en revanche demander (par simple e-mail) à vos clients l’autorisation de communiquer leurs données en vue, par exemple, d’obtenir des informations concernant un emprunt précis.
Le mandat conféré par vos clients pourra aussi prévoir ce type de collaboration. Vous devrez dans ce cas préciser les parties visées et non recourir au terme vague de tiers. Il vous faudra ici aussi décrire explicitement la finalité des services proposés à vos clients. Si un seul client est concerné, vous ne devrez pas adapter votre mode de fonctionnement général. Dans ce cas, un consentement écrit suffira.
Les données à caractère personnel ne peuvent être conservées plus longtemps que ce qui est strictement nécessaire. Qu’est-ce que cela implique ?
Les données personnelles nécessaires à l’exécution de votre mission peuvent être conservées aussi longtemps que la personne concernée fait partie de vos clients. À partir du moment où un client décide de mettre fin à la collaboration, vous devez en principe détruire ou effacer de vos bases de données toutes les données à caractère personnel le concernant.
Fin de la collaboration avec votre client ?
Lorsqu'un client décide d'arrêter la collaboration, vous ne pouvez conserver ses coordonnées uniquement pendant une certaine période.
En tant que comptable ou expert-comptable, il est donc préférable de prendre en compte certaines périodes de prescription de 3 ou 7 ans par exemple. Il est dès lors conseillé de conserver les déclarations TVA, déclarations fiscales, modifications... d’anciens clients jusqu’à expiration du délai de prescription en prévision d’un éventuel contrôle fiscal.
Veillez également à communiquer au préalable les délais en vigueur ou les critères retenus pour les déterminer. Même si un client invoque le droit au transfert et exige par conséquent que l’intégralité de la comptabilité soit transférée au nouveau comptable ou au nouvel expert-comptable, mieux vaut, par sécurité et pour éviter tout problème, la conserver jusqu’à expiration des délais de prescription. Toutes les données à caractère personnel doivent ensuite être définitivement effacées ou détruites...
Que faire en cas de fuite de données ?
Il est question de fuite de données s’il y a un risque que les données à caractère personnel soient divulguées sans autorisation, perdues, détruites ou altérées. Si l’ordinateur dans lequel sont stockées des données personnelles ou votre réseau fait l’objet d’un piratage, il est question de fuite de données même si aucune donnée personnelle n’a été copiée ou endommagée. La perte d’une clé USB et l’envoi accidentel d’un e-mail au mauvais destinataire sont considérés comme une fuite de données.
La loi ne vous contraint pas à tenir un registre des fuites de données. Il peut toutefois être utile de les consigner.
Vous pouvez enregistrer des informations telles que :
• la date ainsi qu’une brève description de la fuite de données ;
• ce qu’il est advenu des données à caractère personnel ;
• le nombre et le type de données à caractère personnel ayant fait l’objet d’une fuite ;
• les conséquences et les mesures adoptées ;
• s’il a été satisfait à l’obligation de notification ou la raison pour laquelle la notification n’a pas eu lieu (toutes les fuites ne doivent en effet pas être obligatoirement notifiées).
En parlant d’obligation de notification, précisons que vous ne devez pas systématiquement notifier les fuites de données à la Commission de la protection de la vie privée à laquelle succèdera, à partir du 25 mai, l’Autorité de protection des données. Cette notification est en revanche obligatoire si l’infraction comporte, selon toute vraisemblance, un risque pour les droits et libertés des personnes physiques. Dans ce cas, elle doit intervenir dans les 72 heures qui suivent la constatation de la fuite de données.
Cette notification doit comporter cinq types d’informations :
• la nature de l’infraction ;
• les personnes concernées ;
• le nom et les coordonnées du délégué à la protection des données (DPO) ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
• les conséquences probables de la fuite de données ;
• les mesures qui seront adoptées et appliquées de manière préventive.
En cas de fuite de données susceptible d’engendrer un risque élevé, vous devez également informer les personnes concernées de la nature de la fuite, des conséquences probables et des mesures prises pour y remédier. Cette communication n’est pas obligatoire si les données ont été verrouillées ou cryptées, si des mesures ont déjà été adoptées afin d’éviter que de telles fuites ne se reproduisent à l’avenir ou si communication publique ou un communiqué de presse a été prévu(e).
