FAQ – Questions fréquentes sur le RGPD :

  

  1. Qu’est-ce que le RGPD ?

Le Règlement Général sur la Protection des Données, ou RGPD, est le nouveau texte européen en matière de protection des données personnelles. Voté en avril 2016 et applicable depuis le 25 mai 2018, ce règlement a pour objectif de renforcer et d’unifier la protection des données en Europe.

 

  1. Que considère-t-on comme étant une donnée personnelle ?

Le terme de « donnée personnelle » désigne un renseignement concernant une personne qui :

  • peut être utilisé afin d’identifier, de contacter ou de localiser une personne distincte ;
  • peut-être combiné avec d’autres informations liées à une personne en particulier afin d’identifier, de contacter ou de localiser une personne distincte ;
  • est défini comme « données personnelles » ou « informations personnelles » par les lois et règlements applicables relatifs à la collecte, l’utilisation, le stockage ou la divulgation de données concernant une personne identifiable.

Ainsi, une donnée personnelle correspond à toute information se rapportant à une personne physique identifiée ou identifiable, c’est notamment le cas des coordonnées (noms, adresses, numéros de téléphone), des informations en ligne (profils de membre, informations de connexion, adresses IP), les documents d’identité officiels (numéro fiscal, passeport) ainsi que d’autres données pouvant être utilisées individuellement ou en combinaison avec d’autres données afin d’identifier une personne.

  1. Le RGPD : quelles catégories d’entreprises ou d’organisation sont concernées ?

Le règlement européen de protection des données étend le champ d’application de la loi Informatique et Liberté puisque de fait il s’impose à tous les sujets de droit : particuliers, États, institutions.
Il s’applique à tous les acteurs français, européens ou même étrangers qui traitent des données d’utilisateurs européens.

  1. Ce règlement ne s’applique-t-il qu’aux fournisseurs résidant dans l’Union européenne ?

Non. Le RGPD régit les données personnelles par rapport à l’emplacement de la personne concernée, et non pas en rapport à l’emplacement de l’entreprise chargée de traiter ces données. Les fournisseurs du monde entier peuvent être concernés par le RGPD, selon les données personnelles auxquelles ils accèdent.

 

  1. Dans quels cas faut-il obligatoirement nommer un DPO ?

La nomination d’un DPO pour toutes les entreprises au-delà de 250 salariés est rendue obligatoire par le RGPD, et en dessous de ce seuil elle est facultative sauf dans les cas suivants :

  • le traitement des données est effectué par un organisme public,
  • les activités de base consistent à réaliser un suivi régulier et systématique des personnes à grande échelle,
  • les activités de base consistent en un traitement à grande échelle des données sensibles ou relatives à des condamnations pénales et à des infractions (article 37 paragraphe 1 du RGPD).
  1. Quel est le rôle du DPO ? 

Le délégué à la protection des données a un rôle d’information, de conseil et de contrôle interne. Ce dernier contribue à mettre en place une stratégie interne à l’organisation non seulement de protection, de respect de bonnes pratiques informatiques et de réactivité en cas de cyberattaque.

Un des rôles phare du DPO est d’établir la cartographie des outils informatiques afin de répertorier les logiciels/dossiers/serveurs où sont stockées toutes les données personnelles dites sensibles. Le DPO établit et tient à jour le registre de traitement.

  1. Qu’est-ce qu’une donnée sensible ?

Les données sensibles sont des informations qui concernent l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, la santé ou la vie sexuelle des utilisateurs. Ces données dites « sensibles » doivent être recueillies et exploitées obligatoirement (article 9 du RGPD) avec le consentement explicite des personnes, et ce sans aucune exception.

  1. Les cabinets d’expert-comptable traitent-ils des données sensibles ?

Les cabinets d’expertise comptable peuvent être amenés à traiter des données sensibles dans le cadre de l’organisation interne du cabinet ou pour la réalisation des missions pour leurs clients.
Avec la gestion de la comptabilité, du personnel et de la paie ou pour les besoins de missions réalisées pour les clients, les cabinets traitent des données personnelles. Ces données peuvent comporter des données sensibles, telles que celles relatives aux enfants mineurs, à l’état de santé des personnes ou encore à l’appartenance syndicale.

 

Notez :

dans le cadre des déclarations sociales réalisées pour leurs clients, les cabinets d’expert-comptable utilisent le NIR. Ce numéro n’est pas considéré comme une donnée sensible, mais comme bénéficiant d’un traitement particulier (article 87 du RGPD).

     

    1. Les cabinets d’expert-comptable doivent-ils recueillir le consentement de toutes les personnes physiques dont les données personnelles sont traitées ?

    Les cabinets d’expert-comptable doivent en principe recueillir le consentement de toutes les personnes physiques dont ils traitent les données personnelles.

    Le consentement qui est un « acte positif clair qui exprime de façon libre, spécifique, éclairée et univoque l’accord de la personne concernée » doit être donné par l’utilisateur pour chaque finalité. Ce dernier peut retirer son consentement à tout moment. La charge de la preuve du consentement incombe à l’entreprise qui entend traiter les données. De fait, le cabinet d’expertise comptable agit majoritairement pour le compte des entreprises ou des structures du secteur non marchand (associations, fondations…)

    Dans cette situation, les cabinets d’experts-comptables n’ont pas l’obligation de recueillir le consentement des personnes, dans la mesure où elles répondent au cas ci-dessous (article 7 Loi Informatique et Liberté) :

    • Lorsqu’il existe un contrat de travail ou d’entreprise avec le cabinet,
    • Lorsque l’entreprise traite les données en application d’une obligation légale, ou pour protéger les intérêts vitaux de la personne concernée ou d’une autre personne, ou pour une mission d’intérêt public ou officielle, ou enfin dans un intérêt légitime supérieur aux intérêts ou libertés et droits fondamentaux de la personne concernée.
    • C’est également le cas des traitements réalisés pour des raisons d’archivage dans l’intérêt public, scientifique, statistique ou historique.

    Les cabinets d’expert-comptable n’ont donc pas l’obligation de recueillir le consentement de toutes les personnes dont les données personnelles sont traitées. Il convient à l’entreprise ou à l’association d’avoir assumé cette obligation, en les informant lors du recrutement et de la signature du contrat de travail. Une vigilance est de fait nécessaire pour les salariés non liés par un contrat de travail, tel que l’intégration d’un stagiaire par exemple.

     

    1. Comment respecter l’obligation d’information ?

    Les responsables de traitement ont une obligation d’information vis-à-vis des personnes dont les données personnelles sont collectées et traitées.

    Lorsque le responsable de traitements est le cabinet, ce dernier doit informer les personnes concernées du traitement de leurs données personnelles. En revanche, si le cabinet est sous-traitant, il n’a pas cette obligation d’information.

    Il existe deux types de collecte de données pour lesquelles les modalités d’information sont différentes :

    • Lorsqu’il s’agit d’une collecte de donnée directe, le responsable de traitements doit informer les personnes au moment de la collecte.
    • Lorsqu’il s’agit d’une collecte indirecte, l’information doit être transmise à la personne concernée :
    • Dans un délai raisonnable, ne dépassant pas deux mois ;
    • Si les données doivent être utilisées aux fins de communication avec la personne concernée, au moment de la première communication ;
    • S’il est envisagé de communiquer les données personnelles à un autre destinataire, au plus tard lorsque ces données sont communiquées pour la première fois.

    L’obligation d’information concerne également les sous-traitants à l’égard du responsable de traitements.

     

    AlterEthic a pris toutes les mesures de conformité au RGPD :

    • Le consentement au traitement des données : chaque formulaire de notre site demande le consentement à chacun des utilisateurs et selon la finalité poursuivie pour conserver leurs données.
    • Le droit à l’information: les utilisateurs clients peuvent consulter les informations stockées les concernant (nom et prénom, email, etc.) via notre espace client, et modifier ou supprimer ces données selon les finalités poursuivies et les dispositions légales en vigueur.
    • Le droit à l’oubli: les utilisateurs pourront demander la suppression intégrale de leurs données selon les dispositions légales en vigueur. 
    • La fuite de données: en cas de fuite de données, une notification sera envoyée aux utilisateurs dans le délai de 48 heures fixé par la loi. 
    • Sécurité, confidentialité et sauvegarde des données: Nous ne communiquons pas vos données à des tiers sans vous en informer. Nos sites utilisent le protocole de sécurité HTTPS et disposent du certificat SSL. Toutes nos équipes sont liées par un engagement de confidentialité. Chaque traitement de données est répertorié dans un registre de traitement et est mis à jour à chaque modification. Les données recueillies par le cabinet AlterEthic sont stockées sur des serveurs dans l’Union européenne.

     

    Sources :