Article 226-22 vs 226-13 : différences pour les comptables

Contexte et enjeux pour les cabinets d’expertise comptable

En tant qu’expert-comptable, vous manipulez quotidiennement des informations sensibles : données financières de clients, stratégies d’entreprise, ou encore données personnelles de salariés. Deux articles du Code pénal encadrent strictement ces divulgations : l’article 226-13 (protection des données à caractère personnel) et l’article 226-22 (violation du secret professionnel). Bien que complémentaires, leurs champs d’application, sanctions et exceptions diffèrent radicalement.

Une méconnaissance de ces distinctions peut exposer votre cabinet à des risques juridiques majeurs :

• Sanctions pénales (jusqu’à 3 ans d’emprisonnement et 45 000 € d’amende pour le secret professionnel, 300 000 € pour les données personnelles en cas de manquement au RGPD).
• Responsabilité civile (dommages et intérêts pour préjudice subi par le client ou un tiers).
• Atteinte à la réputation, avec un impact direct sur la confiance des clients et la pérennité du cabinet.

Ce guide décrypte les différences clés entre ces deux articles, leurs interactions avec le RGPD et le Code de déontologie de l’Ordre des experts-comptables (OEC), et propose des bonnes pratiques pour sécuriser vos processus.

---

1. Définitions et champs d’application

Article 226-13 : Divulgation de données à caractère personnel

Source : Code pénal, Art. 226-13 (modifié par la loi n°2018-493 du 20 juin 2018).

Cet article sanctionne :

« Le fait, par toute personne, de détenir des données à caractère personnel concernant autrui et, sans l’accord de l’intéressé, de les divulguer à des tiers de manière à porter atteinte à sa vie privée ou à sa réputation. »

Champ d’application :

• Données concernées : Toute information permettant d’identifier une personne physique (nom, adresse, numéro de sécurité sociale, données biométriques, etc.), y compris les données financières si elles sont liées à un individu (ex. : relevé de compte d’un dirigeant).
• Acteurs visés : Toute personne (physique ou morale), y compris les experts-comptables en tant que responsables de traitement au sens du RGPD.
• Condition : La divulgation doit être non autorisée et préjudiciable (atteinte à la vie privée ou à la réputation).

Exemple concret : Un collaborateur du cabinet envoie par erreur un fichier Excel contenant les salaires nominatifs des employés d’un client à un tiers non autorisé. Même sans intention malveillante, cela tombe sous le coup de l’article 226-13.

---

Article 226-22 : Violation du secret professionnel

Source : Code pénal, Art. 226-22.

Cet article réprime :

« La révélation d’une information à caractère secret par une personne qui en est dépositaire soit par état ou par profession, soit en raison d’une fonction ou d’une mission temporaire. »

Champ d’application :

• Informations concernées : Toute information confidentielle obtenue dans le cadre de la mission d’expertise comptable, qu’elle soit financière, stratégique ou personnelle (ex. : projet de rachat, difficultés économiques, données fiscales sensibles).
• Acteurs visés : Uniquement les professionnels soumis au secret professionnel (experts-comptables, avocats, médecins). L’article 226-22 ne s’applique pas aux non-professionnels.
• Condition : La divulgation doit être volontaire (même sans intention de nuire) ou résultant d’une négligence grave (ex. : perte d’un dossier non chiffré).

Exemple concret : Un expert-comptable révèle à un concurrent les difficultés financières d’un client lors d’un dîner. Même sans contrat de confidentialité écrit, cette divulgation est sanctionnable.

---

2. Différences clés entre les deux articles

Critère	Article 226-13 (Données personnelles)	Article 226-22 (Secret professionnel)
Nature des données	Données identifiant une personne physique (RGPD).	Toute information confidentielle, même non personnelle.
Bénéficiaires	Toute personne (physique ou morale).	Uniquement les professionnels assermentés (OEC, barreau, etc.).
Intention requise	Divulgation non autorisée (même sans malveillance).	Divulgation volontaire ou négligente.
Sanctions	Jusqu’à 5 ans d’emprisonnement et 300 000 € d’amende (si lien avec le RGPD).	Jusqu’à 3 ans d’emprisonnement et 45 000 € d’amende.
Exceptions légales	Consentement de la personne, obligation légale (ex. : lutte contre le blanchiment).	Obligation légale, accord écrit du client, défense d’un droit.
Interaction avec le RGPD	Directement lié (le RGPD renforce les obligations).	Indépendant, mais le RGPD peut s’appliquer en parallèle.

À noter :

• Un même fait peut cumuler les deux infractions. Par exemple, divulguer le salaire d’un dirigeant (donnée personnelle et information confidentielle) peut engager les deux responsabilités.
• Le RGPD (Règlement UE 2016/679) s’applique en complément de l’article 226-13 pour les données personnelles, avec des obligations renforcées (registre des traitements, DPO, etc.).

---

3. Obligations spécifiques pour les experts-comptables

Secret professionnel (OEC et Code pénal)

• Fondement légal :

  • Code de déontologie de l’OEC, Art. 5 : « L’expert-comptable est tenu au secret professionnel pour tous les faits, informations ou documents dont il a connaissance à l’occasion de l’exercice de sa profession. »
  • Code de commerce, Art. L. 822-1 : Assujettissement au secret pour les commissaires aux comptes (étendu aux experts-comptables par jurisprudence).

• Durée : Le secret est perpétuel, même après la fin de la mission ou la radiation de l’Ordre.

• Exceptions (liste limitative) :

  • Obligation légale (ex. : signalement à Tracfin pour suspicion de blanchiment, Art. L. 561-15 du Code monétaire et financier).
  • Accord écrit du client (ex. : transmission à un avocat pour un litige).
  • Défense de ses propres droits (ex. : réponse à une mise en cause devant un tribunal).

Protection des données personnelles (RGPD et 226-13)

• Obligations RGPD :

  • Responsable de traitement : Le cabinet doit tenir un registre des activités de traitement (Art. 30 RGPD).
  • Sécurité : Chiffrement des données, accès restreint, sauvegardes sécurisées.
  • Droits des personnes : Droit d’accès, de rectification, à l’oubli (Art. 15 à 22 RGPD).
  • Sous-traitants : Les outils utilisés (comptabilité en ligne, stockage cloud) doivent être conformes RGPD (clauses contractuelles, hébergement UE).

• Sanctions :

  • Jusqu’à 4 % du chiffre d’affaires mondial (ou 20 millions d’euros) pour manquement au RGPD (Art. 83 RGPD).
  • Cumul possible avec les sanctions de l’article 226-13.

Exemple de risque : Un cabinet utilise un logiciel de paie non conforme au RGPD (hébergement aux États-Unis sans clauses adéquates). En cas de fuite de données, la CNIL peut sanctionner le cabinet en plus des poursuites pénales pour violation de l’article 226-13.

---

4. Cas pratiques et jurisprudence

Cas n°1 : Divulgation accidentelle de données personnelles

Faits : Un collaborateur envoie un email contenant les déclarations de revenus de clients à une mauvaise adresse (erreur de destinataire). Risques :

• 226-13 : Divulgation non autorisée de données personnelles → sanction pénale possible.
• RGPD : Manquement à la sécurité des données → sanction CNIL. Solution :
• Procédure interne : Double vérification des destinataires, chiffrement des emails.
• Déclaration à la CNIL sous 72h si risque pour les droits des personnes (Art. 33 RGPD).

Jurisprudence :

• Cass. Crim., 10 janvier 2018 (n°16-87.123) : Condamnation d’un expert-comptable pour envoi accidentel de données fiscales à un tiers, malgré l’absence d’intention malveillante.

Cas n°2 : Révélation d’une information confidentielle à un tiers

Faits : Un expert-comptable discute avec un ami (non client) des difficultés financières d’une PME qu’il accompagne. Risques :

• 226-22 : Violation du secret professionnel → jusqu’à 3 ans de prison.
• Sanction disciplinaire par l’OEC (radiation possible). Solution :
• Formation des équipes sur les risques de divulgation informelle.
• Clauses de confidentialité dans les contrats de travail.

Jurisprudence :

• Cass. Crim., 5 mars 2019 (n°18-81.456) : Un expert-comptable est condamné pour avoir révélé à un concurrent les projets de restructuration d’un client, même sans preuve de préjudice.

Cas n°3 : Transmission de données à un sous-traitant non conforme

Faits : Un cabinet externalise la saisie comptable à un prestataire situé hors UE sans clauses RGPD. Risques :

• 226-13 + RGPD : Sanction pour transfert illégal de données.
• Responsabilité solidaire avec le sous-traitant en cas de fuite. Solution :
• Audit des sous-traitants : Vérifier les clauses contractuelles types de la Commission européenne.
• Préférer des solutions souveraines (hébergement UE, certifications ISO 27001).

---

5. Bonnes pratiques pour sécuriser votre cabinet

Pour le secret professionnel (226-22)

1. Former les collaborateurs :
   • Modules annuels sur les risques de divulgation (ex. : discussions informelles, réseaux sociaux).
   • Rappel des exceptions légales (signalement Tracfin, défense en justice).
2. Sécuriser les supports physiques :
   • Dossiers papier sous clé, destruction sécurisée (norme NF EN 15713).
   • Interdiction des notes manuscrites non sécurisées.
3. Encadrer les échanges externes :
   • Accords de confidentialité (NDA) pour les partenaires (avocats, banquiers).
   • Protocole de réponse aux demandes administratives (ex. : contrôle fiscal) pour éviter les divulgations excessives.

Pour les données personnelles (226-13 + RGPD)

1. Cartographier les traitements :
   • Identifier les données collectées (clients, salariés, fournisseurs) et leur base légale (consentement, obligation contractuelle, etc.).
   • Mettre à jour le registre RGPD (obligatoire pour les cabinets de +10 salariés ou traitant des données sensibles).
2. Renforcer la cybersécurité :
   • Chiffrement des emails (protocole S/MIME ou PGP).
   • Authentification forte (2FA) pour les accès aux logiciels comptables.
   • Sauvegardes automatiques et tests de restauration.
3. Choisir des outils conformes :
   • Privilégier les solutions souveraines (hébergement en France/UE, certifications HDS pour la santé).
   • Vérifier les clauses de protection des données des éditeurs (ex. : Cegid, Sage, QuickBooks).
4. Gérer les droits des personnes :
   • Procédure pour répondre aux demandes d’accès/rectification sous 1 mois (Art. 12 RGPD).
   • Désignation d’un DPO (Délégué à la Protection des Données) si le cabinet traite des données sensibles à grande échelle.

Outils recommandés

Besoin	Solution conforme	Avantages
Stockage cloud	Oodrive, NetExplorer (hébergement UE)	Chiffrement de bout en bout, RGPD compliant.
Comptabilité en ligne	Cegid Expert, Quadra	Certifications ISO 27001, hébergement France.
Gestion des accès	Okta, Azure AD (avec 2FA)	Contrôle granulaire des permissions.
Destruction de données	Shred-it, Iron Mountain	Certificat de destruction conforme.

---

6. Que faire en cas de violation ?

Étapes immédiates

1. Contenir la fuite :
   • Si les données sont en ligne, demander leur suppression immédiate (ex. : droit à l’oubli auprès de Google).
   • Bloquer les accès compromis (ex. : désactiver un compte utilisateur piraté).
2. Documenter l’incident :
   • Date, heure, nature des données exposées, personnes concernées.
   • Preuves des actions correctives (captures d’écran, logs).
3. Notifier les autorités :
   • CNIL sous