RGPD et expertise comptable : guide complet 2026
Obligations RGPD pour un cabinet : DPO, registre, mentions, sous-traitance, IA. Mises à jour 2026 et bonnes pratiques.
Pourquoi le RGPD est-il un enjeu stratégique pour les cabinets d’expertise comptable en 2026 ?
Depuis son entrée en vigueur le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) (Règlement (UE) 2016/679) impose aux professionnels du chiffre une vigilance accrue dans le traitement des données personnelles. Pour un cabinet d’expertise comptable, les risques sont multiples :
- Sanctions financières (jusqu’à 4 % du chiffre d’affaires mondial ou 20 millions d’euros, selon l’article 83 du RGPD) en cas de manquement.
- Atteinte à la réputation, cruciale dans un secteur fondé sur la confiance.
- Responsabilité pénale pour le dirigeant (article 226-16 et suivants du Code pénal).
En 2026, les contrôles de la CNIL se multiplient, avec une attention particulière sur : ✅ L’utilisation de l’IA (analyse prédictive, automatisation des déclarations). ✅ La sous-traitance (cloud, logiciels SaaS, prestataires externes). ✅ La durée de conservation des données fiscales et sociales.
Ce guide détaille les obligations légales, les bonnes pratiques et les évolutions récentes pour sécuriser votre cabinet.
1. Qui est concerné par le RGPD dans un cabinet d’expertise comptable ?
Le RGPD s’applique à tout traitement de données personnelles, c’est-à-dire toute information permettant d’identifier une personne physique (client, salarié, fournisseur, etc.).
1.1. Données traitées par un expert-comptable (exemples concrets)
| Type de données | Exemples | Base légale (RGPD, Art. 6) |
|---|---|---|
| Données clients | Noms, adresses, numéros SIRET, relevés bancaires, déclarations fiscales | Exécution d’un contrat (Art. 6-1-b) |
| Données salariales | Bulletins de paie, IBAN, numéros de sécurité sociale | Obligation légale (Art. 6-1-c) |
| Données prospects | Coordonnées collectées via un formulaire web | Consentement (Art. 6-1-a) |
| Données de connexion | Logs d’accès aux logiciels comptables (ex : Cegid, Sage) | Intérêt légitime (Art. 6-1-f) |
⚠️ Attention : Les données dites “sensibles” (origine ethnique, opinions politiques, données de santé, etc.) sont interdites sauf exceptions strictes (Art. 9 RGPD). Un cabinet ne peut les traiter que si :
- Le client donne un consentement explicite (ex : pour une mission spécifique).
- Une obligation légale l’impose (ex : déclaration de handicap pour un avantage fiscal).
1.2. Rôles et responsabilités au sein du cabinet
Le RGPD distingue deux acteurs clés :
- Le responsable de traitement : Le cabinet (ou l’expert-comptable indépendant) qui décide pourquoi et comment les données sont utilisées.
- Le sous-traitant : Tout prestataire externe (ex : hébergeur cloud, éditeur de logiciel) qui traite les données pour le compte du cabinet.
Exemple :
- Si votre cabinet utilise QuickBooks Online, vous êtes responsable de traitement, tandis qu’Intuit (éditeur) est sous-traitant.
- Vous devez vérifier que vos sous-traitants sont conformes RGPD (via un contrat de sous-traitance, Art. 28 RGPD).
Source : Ligne directrice CNIL sur les responsables de traitement et sous-traitants (mise à jour 2025).
2. Les 5 obligations RGPD incontournables pour un cabinet
2.1. Désigner un DPO (Délégué à la Protection des Données)
Obligatoire si (Art. 37 RGPD) :
- Votre cabinet traite à grande échelle des données sensibles (ex : paie pour 500+ salariés).
- Vous utilisez un profilage systématique (ex : IA pour détecter des fraudes fiscales).
- Vous êtes une autorité publique (rare pour les cabinets, sauf missions spécifiques).
Bonnes pratiques 2026 :
- Même si non obligatoire, nommer un DPO interne ou externe est recommandé pour les cabinets de 10+ collaborateurs.
- Le DPO peut être un collaborateur formé (ex : expert-comptable avec une certification CNIL) ou un prestataire externe.
- Coût moyen : Entre 1 500 € et 5 000 €/an pour un DPO externe (source : baromètre CNIL 2025).
À savoir :
- Le DPO doit être indépendant (ne pas être le dirigeant ou le responsable IT).
- Ses coordonnées doivent être communiquées à la CNIL et affichées sur votre site web.
2.2. Tenir un registre des activités de traitement
Obligatoire pour tous les cabinets (Art. 30 RGPD), sauf si :
- Vous avez moins de 250 salariés ET vos traitements sont occasionnels (peu probable pour un expert-comptable).
Que doit contenir le registre ?
| Éléments obligatoires | Exemple pour un cabinet |
|---|---|
| Nom et coordonnées du responsable | ”Cabinet Dupont & Associés, 12 rue de Paris, 75001 Paris” |
| Finalités du traitement | ”Établissement des déclarations fiscales (liasse fiscale, TVA)“ |
| Catégories de données | ”Noms, prénoms, SIRET, chiffres d’affaires, données bancaires” |
| Catégories de personnes concernées | ”Clients (TPE/PME), associés, salariés des clients” |
| Durée de conservation | ”10 ans pour les documents fiscaux (Art. L102 B du Livre des Procédures Fiscales)“ |
| Mesures de sécurité | ”Chiffrement des données, accès restreint via authentification forte (2FA)” |
Outils recommandés :
- Modèle CNIL : Téléchargeable ici.
- Logiciels dédiés : Dastra, Axione, ou les fonctionnalités RGPD intégrées dans Konfid.
2.3. Informer les personnes concernées (mentions d’information)
Obligation : Toute personne dont vous traitez les données doit être informée de manière transparente (Art. 12-13 RGPD).
Où afficher ces mentions ?
- Sur votre site web (page “Politique de confidentialité”).
- Dans les contrats de mission (clause RGPD dédiée).
- Dans les emails (lien vers la politique de confidentialité).
Exemple de mention minimale (à adapter) :
“Vos données sont traitées par [Nom du Cabinet] pour [finalité précise, ex : établissement de votre liasse fiscale]. Elles sont conservées pendant [durée, ex : 10 ans] conformément à l’article L102 B du LPF. Vous disposez d’un droit d’accès, de rectification et d’effacement (RGPD, Art. 15-17). Pour l’exercer, contactez [dpo@cabinet.fr].”
Sanction en cas d’omission : Jusqu’à 2 % du CA mondial (Art. 83 RGPD).
2.4. Sécuriser les données et gérer les violations
Mesures techniques obligatoires (Art. 32 RGPD) :
- Chiffrement des données (ex : fichiers clients stockés en AES-256).
- Authentification forte (2FA) pour l’accès aux logiciels comptables.
- Sauvegardes régulières (avec test de restauration).
- Journalisation des accès (logs).
En cas de violation de données (ex : fuite, piratage) :
- Notifier la CNIL sous 72h si risque pour les droits des personnes (Art. 33 RGPD).
- Informer les clients concernés si risque élevé (Art. 34 RGPD).
- Documenter l’incident dans votre registre.
Cas pratique : En 2025, un cabinet lyonnais a été sanctionné de 50 000 € pour ne pas avoir notifié une fuite de données (décision CNIL n°MED-2025-012).
2.5. Gérer les droits des personnes (accès, rectification, effacement)
Les clients et salariés peuvent exercer leurs droits à tout moment (Art. 15-22 RGPD) :
- Droit d’accès : Demande de copie de leurs données.
- Droit de rectification : Correction d’une erreur (ex : IBAN incorrect).
- Droit à l’effacement (“droit à l’oubli”) : Suppression des données sauf obligation légale de conservation (ex : 10 ans pour les documents fiscaux).
- Droit à la portabilité : Récupération de leurs données dans un format structuré (ex : CSV).
Délai de réponse : 1 mois (prorogeable de 2 mois en cas de complexité).
Modèle de réponse :
“Nous accusons réception de votre demande d’accès. Conformément à l’article 15 du RGPD, vous trouverez ci-joint les données vous concernant. Pour toute rectification, merci de nous retourner ce formulaire [lien].“
3. Sous-traitance et RGPD : comment choisir ses prestataires ?
Les cabinets externalisent souvent :
- L’hébergement (OVH, AWS, Google Cloud).
- Les logiciels (Cegid, Sage, QuickBooks, Konfid).
- La paie (ADP, PayFit).
3.1. Vérifications obligatoires avant de signer un contrat
✅ Le prestataire est-il conforme RGPD ?
- Vérifiez sa certification (ex : ISO 27001, SOC 2).
- Consultez sa politique de confidentialité (ex : Politique de confidentialité de Konfid).
✅ Le contrat de sous-traitance (Art. 28 RGPD) contient-il :
| Clause obligatoire | Exemple de formulation |
|---|---|
| Objet et durée du traitement | ”Le sous-traitant traite les données aux fins d’hébergement des liasses fiscales…” |
| Obligations du sous-traitant | ”Le sous-traitant s’engage à mettre en œuvre des mesures de sécurité conformes à l’Art. 32 RGPD” |
| Sous-traitants ultérieurs | ”Tout nouveau sous-traitant doit être préalablement validé par le responsable de traitement” |
| Assistance en cas de violation | ”Le sous-traitant notifie toute violation dans les 24h” |
| Suppression des données en fin de contrat | ”Les données sont supprimées sous 30 jours après résiliation” |
⚠️ Piège à éviter :
- Les contrats “clic-and-sign” (ex : CGU de certains SaaS) qui ne mentionnent pas explicitement l’Art. 28 RGPD.
- Les hébergeurs hors UE (ex : AWS US) sans clauses contractuelles types (SCC) validées par la Commission européenne.
3.2. Liste des sous-traitants courants et leur conformité
| Prestataire | Type de service | Conformité RGPD | Lien vers la documentation |
|---|---|---|---|
| Konfid | IA souveraine pour experts-comptables | ✅ Certifié ISO 27001, hébergement UE | konfid.fr/legal |
| Cegid | Logiciel de comptabilité | ✅ DPO dédié, contrat Art. 28 | cegid.com/rgpd |
| OVHcloud | Hébergement | ✅ Hébergement 100 % UE, SCC | ovhcloud.com/fr/rgpd |
| PayFit | Paie | ✅ Sous-traitants audités | payfit.com/fr/rgpd |
Source : Liste des prestataires certifiés par la CNIL (2026).
4. RGPD et intelligence artificielle : enjeux pour 2026
L’IA générative (ex : analyse automatique de contrats, détection d’anomalies fiscales) soulève des questions RGPD spécifiques.
4.1. Risques liés à l’IA en expertise comptable
| Risque | Exemple concret | Solution RGPD |
|---|---|---|
| Biais algorithmiques | Un modèle IA refuse systématiquement les dossiers de créateurs d’entreprise jeunes | Audit régulier des algorithmes (Art. 22 RGPD) |
| Manque de transparence | Impossible d’expliquer pourquoi l’IA a détecté une “anomalie” dans une déclaration | Droit à une explication (Art. 13-2-f RGPD) + documentation technique |
| Fuites de données | Utilisation d’un LLM (ex : ChatGPT) pour analyser des données clients | Interdiction des outils grand public (utiliser des solutions souveraines comme Konfid) |
4.2. Bonnes pratiques pour une IA conforme
-
Privilégier des solutions souveraines :
- Hébergement en UE (ex : Konfid utilise des serveurs certifiés HDS en France).
- Pas de transfert de données hors UE (sauf avec des SCC validées).
-
Documenter les modèles d’IA :
- **Fiche d’impact (
Vous voulez tester Konfid sur votre cabinet ?
Une démo de 30 minutes en visio. On vous montre l'IA Konfid sur des cas réels du métier comptable.
Réserver une démoArticle 226-13 du Code pénal : ce que tout expert-comptable doit savoir
Le secret professionnel impose des règles strictes aux experts-comptables. Guide complet : champ d'application, sanctions, IA et conformité.
Article 226-22 vs 226-13 : différences pour les comptables
Comprendre la distinction entre divulgation de secret pro et divulgation de données à caractère personnel pour un expert-comptable.
Comment auditer la conformité des outils numériques de votre cabinet
Méthodologie pas-à-pas pour auditer la conformité RGPD, secret professionnel et déontologie de votre stack technologique.