Introduit le 25 mai 2018 dans la législation belge, le RGPD – règlement général sur la protection des données – s’applique à toutes les entreprises qui utilisent des données personnelles. Les fiduciaires sont évidemment concernées. Que faut-il savoir ?
 
La législation sur la protection des données personnelles est en réalité largement antérieure au fameux Règlement Général sur la Protection des Données (RGPD) : introduite en 1995, elle fête cette année son quart de siècle. En instituant une autorité chargée de contrôler le respect de ces règles et en lui donnant le pouvoir d’imposer des amendes allant jusqu’à 4% du chiffre d’affaires annuel, la nouvelle législation, basée sur une directive européenne, donne aujourd’hui aux gouvernements les moyens de faire respecter les règles.
 
Nous avons demandé à Glen Vandamme, consultant RGPD chez Finplex, de nous éclairer sur les implications de ce règlement pour les fiduciaires.
 

Les mythes du RGPD

 
Avant d’entrer dans le vif du sujet, notre spécialiste tient à dénoncer quelques mythes communément répandus sur le RGPD. Deux d’entre eux ont une importance particulière pour les fiduciaires :

• Les données professionnelles (adresses email professionnelles, par exemple) ne seraient pas concernées par le RGPD. C’est une erreur : le RGPD concerne toutes les données à caractère personnel, quelle que soit leur nature
• Les données sur papier ne seraient pas concernées : ici aussi, c’est une erreur. La protection des données s’étend aussi aux données conservées sur un support papier. Que votre activité soit entièrement digitalisée ou encore partiellement sur papier ne change donc rien à votre obligation de respecter les stipulations du RGPD.

 

Au cœur du RGPD: le registre des activités de traitement

Alors, comment mettre en ordre votre entreprise? Pour Glenn Vandamme, l’important est de commencer par nommer un GDPR Project Manager. Cette personne pilotera le processus au sein de votre entreprise: cette prise de responsabilité est indispensable si vous ne voulez pas que votre projet passe en permanence au second rang des priorités dans votre entreprise.
 
Sa première tâche sera la plus fastidieuse: il s’agira de préparer le registre des activités de traitement. Ce document dresse la liste de tous les processus business qui impliquent la manipulation ou le traitement de données personnelles. Pour chacun de ces procédés, il faudra répondre à 5 questions:

• Quoi: il s’agit de décrire le processus en détail, ainsi que les données qui sont récoltées pour le mettre en œuvre.
• Pourquoi: quelles sont les justifications de l’utilisation de ces données? Exemple simple: j’ai besoin d’une adresse mail, du nom et de l’adresse de l’entreprise et d’un numéro de TVA pour envoyer une facture;
• Combien de temps: quelle sera la durée de conservation de ces données personnelles, et pourquoi?. La justification peut très bien être une obligation légale, comme celle de conserver les pièces comptables pendant au moins 7 ans.
• Où: sur quel(s) support(s) ces données seront-elles conservées?
• Qui? Quelles sont les personnes qui auront accès à ces données?

 

Une quarantaine de processus au moins

 
Pour notre expert, une TPE ou une petite PME ont au moins une quarantaine de processus concernés par le RGPD: rédaction des offres commerciales, traitement des salaires, facturation, gestion des débiteurs, traitement des plaintes clients, mais aussi recrutement de nouveaux collaborateurs, voire l’organisation du repas du personnel (par exemple pour répertorier les éventuelles allergies et intolérances alimentaires)…
 
Comment parvenir à une liste exhaustive? « Le plus simple est de commencer par les logiciels que vous utilisez: il vous sera plus facile de dresser systématiquement la liste des processus gérés avec l’aide de ces logiciels », conseille Glenn Vandamme. « Partez ensuite des quatre catégories de personnes impliquées dans la vie de votre entreprise: personnel, fournisseurs, clients et prospects. Si vous comptez le faire vous-même, faites une petite recherche sur le net: vous y trouverez des fichiers Excel qui vous aideront à formaliser ce genre d’audit. »
 

6 justifications possibles

 
Le traitement de données personnelles n’est autorisé que dans 6 cas de figure:

• La personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques: c’est le cas, par exemple, lorsqu’un prospect s’abonne à votre e-newsletter, ou laisse ses coordonnées pour que vous le recontactiez.
• Ce traitement est nécessaire pour exécuter un contrat. C’est le cas, par exemple, des coordonnées personnelles du client d’un jardinier, car elles sont nécessaires pour établir une facture en bonne et due forme.
• Ce traitement est nécessaire au respect d’une obligation légale. Par exemple, vous avez besoin d’accéder aux pièces justificatives de votre client et de les conserver au moins 7 ans pour satisfaire à vos obligations en tant que comptable.
• Ce traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée. Si vous organisez un repas pour votre personnel, il est important de savoir si certains collaborateurs présentent des allergies alimentaires.
• Le traitement est nécessaire à l’exécution d’une mission d’intérêt public. Par exemple, les hôpitaux peuvent conserver certaines données concernant leurs patients dans un dossier médical.
• Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers. Pour Glenn Vandamme, cette dernière justification est plus délicate, et peut prêter à discussion ou contestation dans le cadre d’un contrôle. Il vaut donc mieux être prudent et privilégier les 5 autres justifications.

 

Le principe de minimalisation

 
Quelle que soit par ailleurs la justification, le RGPD introduit un principe essentiel: celui de la minimalisation. Vous ne pouvez pas récolter plus de données qu’il n’est nécessaire pour exécuter votre processus business. Ou en tout cas, la fourniture de ces données supplémentaires ne doit pas être obligatoire. Prenez l’exemple classique de l’organisation d’un événement, par exemple un séminaire que votre fiduciaire organiserait sur les droits d’auteur pour vos prospects. Des données comme le nom, le prénom et l’adresse mail du participant sont nécessaires pour effectuer une réservation, et vous aurez besoin des coordonnées et du numéro de TVA de son entreprise. Rien ne vous empêche donc de récolter ces informations sur le formulaire d’inscription, et d’obliger l’utilisateur à les remplir. En revanche, des informations sur le secteur d’activités ou le nombre d’employés dans l’entreprise ne sont pas absolument nécessaires. Vous pouvez éventuellement les demander, mais pas rendre leur fourniture obligatoire.
 

Durée limite de conservation

 
Un autre élément crucial est d’identifier, pour chaque processus, combien de temps vous conserverez ces données. Cette durée de conservation doit être raisonnable, et vous devez pouvoir la justifier. N’oubliez pas non plus de prévoir effectivement d’effacer ces données après la date limite. Si vous dites que vous conservez le CV d’un candidat dans votre réserve de recrutement durant 3 ans, vous devez effectivement effacer ce CV une fois les trois années écoulées.
 

Droit de consultation et de rectification

 
Un autre élément important à prévoir est de permettre aux personnes concernées de consulter les données personnelles que vous conservez. « Prévoyez une procédure complète que vous pourrez montrer au contrôleur, mais aussi mettre en œuvre si jamais un de vos clients, prospects, fournisseurs ou collaborateurs venait avec une telle demande », prévient Glenn Vandamme. « Et idem pour la rectification de ces données. »
 

Et en cas de fuite?

 
Un autre élément crucial de la législation concerne les fuites de données. « Qu’il s’agisse d’un ancien employé qui réalise une copie de votre fichier clients avant de partir ou d’un hacker qui s’introduit sur vos serveurs, vous êtes tenu d’une part de signaler cette « fuite » à l’Autorité de Protection des Données (APD), et de l’autre, d’avertir les personnes concernées », explique notre expert. « Prévoyez une procédure claire à ce sujet. Et respectez-la: si jamais une inspection révèle que vous avez subi un vol de données et que vous n’avez rien communiqué à ce sujet, vous risquez une solide amende, et sans aucune clémence de la part de l’APD. »
 

Derniers conseils

 
Il resterait encore de nombreux éléments à évoquer, notamment tout ce qui concerne les documents à créer. Parmi ceux-ci, la cookie policy de votre site web. « C’est une des premières choses que l’APD va regarder si elle décide de vous contrôler, donc autant vous mettre en ordre au plus vite. » Un autre élément sur lequel notre consultant insiste est la répartition des rôles. « Tout le monde ne peut pas accéder à toutes les données: vous devez répartir les rôles, en prévoyant par exemple que seuls les comptables assignés à un client déterminé ont accès à son dossier. » Prévoir un volet RGPD dans vos conditions générales de vente — ou un addendum — et le faire signer par votre client est aussi une étape conseillée.
 
En guise de conclusion, Glenn Vandamme nous livre cette recommandation: « pensez aussi à avoir une politique concernant les mots de passe, et à ne pas les partager au sein de la fiduciaire. Et si jamais vous deviez faire l’objet d’un contrôle, faites la chasse aux post-its: si l’inspecteur de l’APD trouve un post-it avec le mot de passe d’accès à un logiciel ou un dossier collé sur un écran ou au dos d’un clavier, vous risquez d’en prendre pour votre grade! »