La digitalisation a fondamentalement transformé la profession d’expert-comptable. Si les dossiers se trouvaient autrefois dans une armoire, ils circulent aujourd’hui entre le logiciel de comptabilité et de déclaration, le système de gestion des documents, le stockage dans le cloud, la signature électronique, le portail client et — encore et toujours — les e-mails. Si c’est efficace, cela rend également la profession vulnérable : un e-mail mal adressé, un groupe de droits d’accès trop permissif ou un tiers qui peut « consulter » vos données – tout cela peut rapidement entraîner un incident de confidentialité et éventuellement une violation de données à caractère personnel.
L’objectif du RGPD est précisément de maîtriser ce risque. Non pas en paralysant le fonctionnement des cabinets, mais en imposant un cadre juridique qui protège les données personnelles au moyen de principes, de rôles, d’obligations contractuelles et de mesures de sécurité appropriées. Dans cet article, nous nous arrêtons d’abord brièvement sur ce qu’implique le RGPD et sur ses principes fondamentaux, avant de les appliquer à la question concrète suivante : comment, en tant qu’expert-comptable, gérez-vous les logiciels, les échanges d’e-mails et les données de vos clients ?
Que prévoit le RGPD ?
Le RGPD (Règlement général sur la protection des données) est un règlement européen en vigueur depuis le 25 mai 2018, qui fixe les règles de base pour le traitement et la protection des données à caractère personnel des personnes physiques. Il impose des obligations aux organisations qui traitent des données personnelles et confère aux personnes concernées des droits opposables. Pour les experts-comptables, le RGPD n’est donc pas un simple « thème IT », mais un cadre juridique qui a un impact direct sur la manière dont vous constituez vos dossiers, échangez des documents, utilisez des logiciels et veillez à la confidentialité.
Son champ d’application est large : le RGPD s’applique au traitement entièrement ou partiellement automatisé des données à caractère personnel ainsi qu’aux données personnelles contenues dans un fichier ou destinées à y être intégrées. Concrètement : votre logiciel comptable, mais également vos e-mails archivés, votre portail client, votre DMS et vos dossiers cloud sont soumis au RGPD dès lors qu’ils contiennent des données à caractère personnel.
La notion de « traitement » est elle aussi étendue. Elle comprend notamment la collecte, l’enregistrement, la consultation, l’utilisation, la communication par transmission, l’interconnexion et l’effacement. Dans la pratique de l’expertise comptable, cela signifie que presque toute manipulation de dossiers clients — y compris l’envoi d’une pièce jointe ou l’archivage d’un e-mail — constitue un traitement sur le plan juridique.
Principes fondamentaux du RGPD
Le RGPD repose sur un certain nombre de principes fondamentaux qui servent de référence pour tout traitement de données à caractère personnel. Pour le fonctionnement quotidien d’un cabinet d’expertise comptable, les principes suivants sont particulièrement déterminants :
1. Licéité, loyauté et transparence : Les données à caractère personnel doivent être traitées de manière licite, loyale et transparente. Cela se traduit par des accords clairs avec le client (par exemple lettre de mission, informations relatives à la vie privée) et par un fondement juridique défendable pour ce que vous faites.
2. Limitation des finalités : Les données doivent être collectées pour des finalités déterminées, explicites et légitimes et ne pas être traitées ultérieurement de manière incompatible avec ces finalités. Concrètement : ce que vous recevez « pour la mission » ne peut pas être utilisé librement à d’autres fins.
3. Minimisation des données : Les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités. Ce principe est particulièrement pertinent pour les échanges d’e-mails et la diffusion de documents : partager moins de données et créer moins de copies constitue souvent la mesure de conformité et de protection la plus efficace.
4. Limitation de la conservation : Ne conservez pas les données personnelles plus longtemps que nécessaire. Une boîte mail utilisée comme archive permanente est difficilement compatible avec ce principe.
5. Exactitude : Les données à caractère personnel doivent être exactes et tenues à jour. Si elles s’avèrent inexactes, vous devez prendre des mesures raisonnables pour les corriger ou les supprimer sans délai.
6. Intégrité et confidentialité : Les données à caractère personnel doivent être sécurisées de manière appropriée contre tout traitement non autorisé ou illicite ainsi que contre toute perte, destruction ou dégât d’origine accidentelle. C’est la base juridique de mesures telles que l’authentification multifacteur (MFA), le chiffrement, la gestion des accès, la journalisation et les procédures d’incident.
7. Responsabilité (accountability) : Le principe de responsabilité constitue un fil conducteur du RGPD. Le responsable du traitement doit non seulement garantir le respect des principes du RGPD, mais aussi pouvoir en apporter la preuve au moyen d’une documentation, de mesures et d’une gouvernance appropriées.
Application à la pratique de l’expertise comptable : logiciels, échanges d’e-mails et données clients
Tout expert-comptable travaillant avec des dossiers clients traite inévitablement des données à caractère personnel. Le RGPD repose à cet égard sur une répartition des rôles déterminante pour vos obligations. Le responsable du traitement est celui qui détermine les finalités et les moyens du traitement, tandis que le sous-traitant traite les données pour le compte du responsable.
Dans un cabinet d’expertise comptable, ces rôles coexistent souvent. Pour l’organisation interne du cabinet (gestion du personnel, facturation, marketing, gestion IT interne), vous agissez en règle générale comme responsable du traitement.
Dans le cadre de dossiers clients, vous pouvez – selon la mission concrète et dans la mesure où le client donne des instructions – agir parfois comme sous-traitant et, dans d’autres cas, comme (co)responsable du traitement. Il est important de noter que cette qualification n’est pas uniquement « contractuelle » : lorsqu’une partie désignée comme sous-traitant détermine en réalité elle-même les finalités et les moyens, elle sera considérée comme responsable du traitement pour ce traitement précis. Ceci est surtout pertinent pour les fournisseurs de logiciels qui souhaitent utiliser des données ou des métadonnées à leurs propres fins (en plus de fournir un service).
Les logiciels comme chaîne de données
Dans cette optique, il est utile d’aborder votre environnement logiciel comme une chaîne de données. Les données clients circulent entre logiciels comptables et logiciels de déclaration, systèmes de gestion de documents, portails clients, stockage dans le cloud, e-signature, sauvegardes, etc. Dès qu’un fournisseur de cette chaîne traite des données personnelles pour le compte de votre cabinet (ou de votre client dans les limites de votre mission), cette relation doit être correctement organisée sur le plan juridique et pratique. L’article 28 du RGPD exige que le traitement par un sous-traitant soit régi par un contrat (ou un autre acte juridique) précisant au minimum l’objet, la durée, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées. Ce contrat doit en outre prévoir des garanties essentielles, telles que le traitement uniquement sur instruction documentée, la confidentialité, des mesures de sécurité appropriées, l’assistance en cas d’incident et — à la fin du service — la restitution ou la suppression des données (sous réserve des obligations légales de conservation).
En interne également, vous devez pouvoir inventorier et justifier vos traitements. C’est pourquoi le RGPD impose la tenue d’un registre des activités de traitement. En pratique, cela signifie que, en tant que responsable du traitement, vous devez au minimum y reprendre :
- les finalités du traitement
- les catégories de données à caractère personnel (et de personnes concernées)
- les catégories de destinataires
- les éventuels transferts (par exemple vers des pays tiers ou organisations internationales)
- dans la mesure du possible, les délais de conservation
- et une description générale des mesures de sécurité techniques et organisationnelles.
Si vous agissez en tant que sous-traitant, vous tiendrez un registre des catégories de traitements effectués pour le compte des responsables du traitement.
Peppol et facturation électronique
Depuis le 1er janvier 2026, la facturation électronique structurée via le réseau Peppol est obligatoire pour les entreprises assujetties à la TVA en Belgique. Pour les experts-comptables, cela requiert une vigilance accrue. En raison du secret professionnel, vous devez éviter qu’une facture (via des descriptions ou intitulés de dossier) ne divulgue des informations confidentielles concernant le client ou le dossier.
L’approche la plus appropriée consiste dès lors à limiter le contenu de la facture selon le principe de minimisation des données. Mentionnez sur la facture (Peppol) le moins de détails sensibles possible. La facture doit être échangée de manière structurée, mais une note d’honoraires détaillée ou des informations plus complètes sur une prestation peuvent, si nécessaire, être transmises séparément au client via un canal confidentiel (par exemple un portail ou un lien sécurisé), en dehors du canal de facturation électronique.
L’utilisation des e-mails
L’e-mail reste, dans la plupart des cabinets, le canal de communication standard, mais également l’une des sources les plus fréquentes d’incidents de confidentialité. En effet, une violation de données à caractère personnel ne se limite pas à un piratage : une divulgation ou un accès non intentionnel, ou encore une perte ou une modification de données, peuvent également constituer une violation. Un e-mail mal adressé, une erreur de CC/CCi ou une pièce jointe envoyée par inadvertance peuvent donc parfaitement être qualifiés de violation.
Lorsque vous devez quand même envoyer des documents par e-mail, il est crucial de pouvoir démontrer que vous appliquez des mesures de sécurité appropriées. Le RGPD impose des mesures techniques et organisationnelles adéquates et mentionne notamment le chiffrement (lorsque pertinent), des mesures garantissant la disponibilité et la restauration des données, ainsi que le test régulier de l’efficacité de ces mesures. En pratique, une combinaison de MFA sur les boîtes mail avec des pièces jointes chiffrées ou des liens sécurisés avec date d’expiration constitue souvent une norme minimale défendable, en particulier pour des documents sensibles tels que fiches de paie, documents d’identité ou données fiscales détaillées.
Données des clients
Dès que les données clients circulent au sein du cabinet, la confidentialité est essentielle. Le RGPD exige que les données à caractère personnel soient sécurisées « de manière appropriée », afin de les protéger contre tout traitement non autorisé ou illicite, y compris tout accès ou divulgation non autorisés. Un modèle dans lequel « tout le monde voit tout » est dès lors difficilement justifiable, surtout lorsque les dossiers contiennent des informations sensibles.
En Belgique, s’ajoute pour les experts-comptables une obligation professionnelle explicite. La loi du 17 mars 2019 relative aux professions d’expert-comptable et de conseiller fiscal impose une obligation de confidentialité concernant les données qui vous sont confiées (expressément ou tacitement) dans l’exercice de votre profession, ainsi que les faits confidentiels que vous constatez dans ce cadre. En outre, lorsque vous partagez des informations confidentielles avec des collaborateurs, stagiaires ou autres professionnels, vous devez veiller à ce qu’ils respectent ce caractère confidentiel. La gestion des accès, l’onboarding et l’offboarding, ainsi qu’une culture de la discrétion ne sont donc pas de simples mesures de conformité, mais des piliers essentiels d’une manière d’agir professionnelle et rigoureuse.
Une question importante se pose : que doit-on faire des données d’un client lorsque celui-ci change de prestataire ? La règle de base est claire et contraignante : dès que le client en fait la demande, le professionnel doit restituer sans délai tous les livres, documents et données électroniques ou autres appartenant au client. Cette obligation est ancrée tant dans la législation que dans les règles déontologiques applicables. Nous reviendrons plus en détail sur cette obligation dans un prochain article.
Que faire en cas de fuite de données ?
Il est essentiel de ne pas considérer les incidents comme des exceptions rares, mais comme des situations auxquelles le cabinet doit être préparé. Dans la pratique, une violation ne doit pas nécessairement être spectaculaire : comme indiqué précédemment, un e-mail mal adressé, une erreur de CC/CCi ou une pièce jointe envoyée par erreur peut déjà constituer une violation de données à caractère personnel.
Le RGPD prévoit à cet égard un cadre clair. Le responsable du traitement doit notifier une violation de données à caractère personnel dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à l’autorité de contrôle compétente, l’Autorité de protection des données (APD), à moins que la violation ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. Le sous-traitant doit notifier au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance.
L’obligation de documenter systématiquement les incidents est au moins aussi importante que la question « devons-nous les signaler ? ». Le RGPD exige que le responsable du traitement documente toute violation, y compris les faits, ses effets et les mesures prises pour y remédier. Un registre des fuites de données n’est donc pas une formalité, mais un outil permettant de garder le contrôle et de démontrer a posteriori que vous avez agi de manière adéquate.
Ce registre doit être un document de travail pratique.
Un dossier de fuites de données solide comprend généralement au minimum :
- une brève description de l’incident (que s’est-il passé, via quel canal/système, comment a-t-il été détecté ?)
- la date de l’incident
- la personne qui a signalé l’incident en interne
- les catégories de données potentiellement concernées (et leur sensibilité) ainsi que le nombre de personnes concernées (nombre ou estimation réaliste)
- une évaluation provisoire du risque (pourquoi y a-t-il ou non un risque pour les droits et libertés)
- la décision de notification à l’APD, avec une motivation succincte : signaler : pourquoi il y a (probablement) un risque
- ne pas signaler : pourquoi il n’y a pas (ou peu probablement) de risque
- les mesures de limitation et de correction prises (par exemple lien désactivé, compte bloqué, mots de passe réinitialisés, MFA renforcée, demande de suppression de l’e-mail au mauvais destinataire)
- la clôture de l’incident et les éventuelles actions d’amélioration préventive
Tout cela s’inscrit dans le fil rouge du RGPD : la responsabilité. Le respecter ne consiste pas seulement à « bien agir », mais aussi à pouvoir démontrer que des mesures appropriées ont été prises et que les incidents sont maîtrisés. Tenter de dissimuler un incident est rarement judicieux : non seulement le risque peut s’aggraver (la diffusion se poursuit, le nombre de personnes concernées augmente), mais cela affaiblit également votre défendabilité si un incident est quand même découvert ultérieurement.
Dans cette optique, un registre des fuites de données totalement vide est souvent moins crédible, lors d’un contrôle éventuel, qu’un registre mentionnant correctement des incidents mineurs, analysés et clôturés. L’objectif est de démontrer que vous détectez, enregistrez, évaluez et corrigez les incidents.
Conclusion
Le RGPD dans un cabinet d’expertise comptable ne concerne pas essentiellement de « l’administration supplémentaire », mais l’organisation professionnelle de la confidentialité dans un environnement numérique. Celui qui délimite correctement son rôle (responsable du traitement ou sous-traitant), organise sa chaîne logicielle sur les plans contractuel et technique, réduit l’e-mail à un outil de communication et fait transiter les documents sensibles via des canaux sécurisés, rend le traitement des données clients à la fois plus sûr et mieux défendable au regard des principes du RGPD et des obligations de confidentialité professionnelle.
Si un incident survient malgré tout, une procédure claire et un registre des fuites de données correctement tenu feront la différence : non pas parce qu’un cabinet ne peut commettre aucune erreur, mais parce que le devoir de responsabilité exige que vous puissiez démontrer que vous détectez, évaluez, corrigez et améliorez structurellement la gestion des incidents.
Avec cette base, vous renforcez non seulement la protection des données personnelles, mais aussi la continuité, la qualité et la réputation de votre pratique professionnelle.
À PROPOS DES AUTEURS
Joost Peeters est cofondateur et associé chez Studio Legale. Il s’est spécialisé en droit des assurances, droit des sociétés, droit du bail, baux commerciaux, droit des contrats et droit de la circulation. Il est également administrateur judiciaire et curateur et accompagne des sociétés en difficulté.
Yannick Lauwers est avocat au sein du cabinet Studio Legale, où il se consacre notamment au droit des sociétés, au droit des affaires et au RGPD. Il a obtenu le certificat DPO auprès du Data Protection Institute et exerce cette fonction depuis plusieurs années déjà. Fort de cette expertise, il suit et accompagne les dossiers liés à la vie privée et à la protection des données dans la pratique.
