RGPD cabinet comptable : obligations, risques et responsabilités
Votre cabinet traite chaque jour des données personnelles sensibles appartenant à vos clients et à leurs salariés. En cas de fuite ou de cyberattaque, la loi vous impose des obligations précises — avec des délais très courts. Ce guide fait le point sans jargon juridique.
Ce que le RGPD impose aux cabinets comptables
Un cabinet d’expertise comptable n’est pas simplement un utilisateur de données — c’est un sous-traitant au sens strict du RGPD. Il traite des données personnelles pour le compte de ses clients (les responsables de traitement). Cette position implique des obligations spécifiques, souvent méconnues des professionnels du chiffre.
Concrètement, cela signifie que le cabinet doit être en mesure de démontrer à tout moment qu’il traite les données de manière sécurisée, conformément aux instructions de ses clients et dans le respect du règlement européen.
Le cabinet est sous-traitant pour les données qu’il traite pour le compte de ses clients (paie, comptabilité, fiscalité). Il est responsable de traitement pour ses propres données internes (gestion des salariés du cabinet, données de prospection). Les obligations ne sont pas identiques selon le rôle.
Quelles données sont concernées par le règlement ?
Le RGPD s’applique à toute donnée permettant d’identifier directement ou indirectement une personne physique. Dans un cabinet comptable, cela couvre un périmètre très large.
- Noms, prénoms, adresses des dirigeants et salariés clients
- Numéros de sécurité sociale (fiches de paie, DSN)
- Données bancaires personnelles (RIB, bulletins de salaire)
- Données fiscales personnelles des dirigeants (IR, patrimoine)
- Données de santé si arrêts maladie traités dans la paie
- Coordonnées personnelles des contacts clients
Les données purement financières d’une société (bilan, compte de résultat) ne sont pas des données personnelles au sens RGPD — sauf si elles permettent d’identifier un individu, comme c’est souvent le cas pour les TPE et entreprises individuelles.
En cas de fuite : le délai légal de 72 heures
C’est la contrainte la plus méconnue — et la plus stressante en situation de crise. En cas de violation de données personnelles, le RGPD impose une notification à la CNIL dans un délai de 72 heures à compter du moment où le cabinet en a connaissance.
Vous découvrez une cyberattaque un lundi matin à 9h. Vous avez jusqu’au jeudi matin à 9h pour notifier la CNIL. Pendant ce temps, vous gérez simultanément la crise technique, la communication clients et la continuité d’activité. Sans préparation préalable, ce délai est pratiquement impossible à tenir.
Que contient une notification CNIL ?
La notification doit décrire la nature de la violation, les catégories de données concernées, le nombre approximatif de personnes et d’enregistrements affectés, les conséquences probables, et les mesures prises ou envisagées. Un dossier incomplet peut être accepté en première intention, avec complément dans les jours suivants.
Les sanctions encourues
Les sanctions CNIL pour non-respect du RGPD peuvent atteindre 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial — le montant le plus élevé étant retenu. Pour un cabinet de taille modeste, même une sanction symbolique de quelques dizaines de milliers d’euros peut avoir des conséquences sérieuses sur la réputation et la relation clients.
Au-delà des sanctions administratives, une violation de données expose le cabinet à des actions en responsabilité civile de la part des personnes dont les données ont été compromises. En pratique, les clients dont les données de salariés ont été exposées peuvent se retourner contre le cabinet.
La CNIL sanctionne de plus en plus les sous-traitants directement, et pas uniquement les responsables de traitement. Des cabinets comptables et de gestion de paie ont déjà fait l’objet de mises en demeure pour absence de mesures de sécurité suffisantes. La tendance est à la hausse depuis 2022.
Note : cet article ne remplace pas un conseil juridique. En cas de doute sur votre situation, consultez un avocat spécialisé en droit des données.
Comment l’assurance cyber couvre une violation RGPD
C’est l’un des points les plus importants à vérifier dans un contrat cyber. Une bonne police inclut plusieurs garanties directement liées au RGPD.
- Frais de notification : coût de l’information des personnes concernées (envoi de courriers, centre d’appel)
- Assistance juridique : accompagnement pour la déclaration CNIL et la constitution du dossier
- Frais de défense : représentation en cas de procédure CNIL ou d’action civile
- Amendes et pénalités : certains contrats couvrent partiellement les sanctions administratives — à vérifier explicitement
Pour aller plus loin sur les garanties spécifiques aux cabinets : notre guide sur l’assurance cyber pour experts-comptables.
Liste de contrôle RGPD pour un cabinet comptable
Voici les points fondamentaux à vérifier pour évaluer votre niveau de conformité actuel.
- Registre des activités de traitement tenu à jour
- Contrats de sous-traitance signés avec vos clients (clause RGPD)
- Politique de mots de passe et double authentification en place
- Procédure de notification CNIL documentée et connue des associés
- Sauvegardes régulières testées et stockées hors réseau principal
- Durées de conservation des données définies et respectées
- Formation annuelle des collaborateurs à la sécurité des données
- Accord de confidentialité signé par chaque collaborateur
Le RGPD impose de protéger les données « en utilisant l’état de l’art en matière de sécurité ». Dans quelques années, l’état de l’art devra intégrer la résistance quantique — les chiffrements actuels ne seront plus considérés comme suffisants. Les cabinets qui n’auront pas migré vers des standards post-quantiques pourraient se retrouver en situation de non-conformité.
Connaissez-vous tous les risques cyber de votre cabinet ?
Ransomware, phishing, fraude au virement — état des lieux complet des menaces pour les cabinets comptables.