Schrems II et impact sur les outils utilisés par les cabinets

Contexte : pourquoi Schrems II concerne directement les cabinets d’expertise comptable

Le 16 juillet 2020, la Cour de justice de l’Union européenne (CJUE) rendait son arrêt Schrems II (affaire C-311/18), invalidant le Privacy Shield – le mécanisme encadrant les transferts de données personnelles vers les États-Unis. Cette décision a créé un séisme juridique pour les entreprises européennes, y compris les cabinets d’expertise comptable, dont les outils métiers (comptabilité, paie, CRM, stockage cloud) reposent souvent sur des solutions américaines (Microsoft 365, Google Workspace, QuickBooks, etc.).

Pour un cabinet, les enjeux sont doubles :

1. Risque juridique : Sanctions de la CNIL (jusqu’à 4 % du chiffre d’affaires mondial ou 20 millions d’euros, art. 83 RGPD), responsabilité pénale du dirigeant (art. 226-16 et suivants du Code pénal).
2. Risque opérationnel : Perte de confiance des clients (DAF, PME) si les données fiscales ou sociales sont transférées hors UE sans garanties.

Ce guide détaille les obligations concrètes pour les cabinets, les outils concernés, et les solutions souveraines pour se mettre en conformité.

---

1. Schrems II : ce que dit la décision et ses implications pour les cabinets

1.1. Les fondements juridiques de l’arrêt

La CJUE a invalidé le Privacy Shield (décision 2016/1250 de la Commission européenne) pour deux raisons majeures :

• Accès massif aux données par les autorités américaines (lois FISA 702 et EO 12333), sans garanties équivalentes au RGPD.
• Absence de recours effectif pour les citoyens européens dont les données sont traitées aux États-Unis.

Conséquence directe :

« Les transferts de données vers les États-Unis ne peuvent plus reposer sur le Privacy Shield. Ils doivent s’appuyer sur des clauses contractuelles types (SCC) ou des garanties supplémentaires, sous peine d’illégalité. » — CNIL, recommandations post-Schrems II (2020)

1.2. Les données des cabinets concernées

Un cabinet traite des données sensibles au sens du RGPD (art. 9) et du Code du travail (art. L. 1121-1) :

• Données fiscales (liasses fiscales, déclarations de TVA) → secret professionnel (art. 226-13 Code pénal).
• Données sociales (bulletins de paie, DADS) → obligation de confidentialité (art. L. 8271-6-1 Code du travail).
• Données clients (comptes annuels, stratégies financières) → devoir de conseil (art. 221-1 du Code de commerce).

Exemple concret : Un cabinet utilisant QuickBooks (Intuit, société américaine) pour la comptabilité de ses clients PME transfère leurs données vers des serveurs aux États-Unis. Sans garanties supplémentaires, ce transfert est illégal depuis juillet 2020.

1.3. Les sanctions encourues

• Amendes RGPD : Jusqu’à 20 millions d’euros ou 4 % du CA mondial (art. 83 RGPD).
• Sanctions pénales : 5 ans d’emprisonnement et 300 000 € d’amende pour violation du secret professionnel (art. 226-13 Code pénal).
• Responsabilité civile : Dommages et intérêts en cas de fuite de données (art. 1231-1 Code civil).

Cas réel : En 2021, la CNIL a sanctionné une entreprise française pour avoir utilisé Google Analytics sans mesures complémentaires post-Schrems II (décision SAN-2021-021).

---

2. Quels outils des cabinets sont impactés ?

Voici une liste non exhaustive des solutions couramment utilisées dans les cabinets, avec leur statut post-Schrems II :

Outil	Éditeur	Localisation des données	Risque Schrems II	Alternatives souveraines
Microsoft 365	Microsoft (USA)	États-Unis/UE (selon config)	Élevé	LibreOffice, OnlyOffice
Google Workspace	Google (USA)	États-Unis	Élevé	Zimbra, Mailo
QuickBooks	Intuit (USA)	États-Unis	Élevé	Ciel Comptabilité, EBP
Salesforce	Salesforce (USA)	États-Unis/UE	Moyen-Élevé	SugarCRM, Dolibarr
Dropbox/Google Drive	Dropbox/Google (USA)	États-Unis	Élevé	Nextcloud, OwnCloud
Zoom	Zoom (USA)	États-Unis	Élevé	Jitsi, BigBlueButton

À noter :

• Même si un éditeur américain propose des serveurs en UE (ex : AWS Frankfurt), les lois américaines (Cloud Act) s’appliquent dès que l’entreprise est sous juridiction US.
• Les clauses contractuelles types (SCC) ne suffisent plus : la CNIL exige des mesures techniques supplémentaires (chiffrement, pseudonymisation).

---

3. Les solutions pour se mettre en conformité

3.1. Étape 1 : Cartographier les transferts de données

Obligation légale : Art. 30 RGPD (registre des activités de traitement). Méthode :

1. Lister tous les outils utilisés (comptabilité, paie, CRM, stockage, messagerie).
2. Identifier où sont hébergées les données (UE, États-Unis, autre).
3. Vérifier les contrats avec les éditeurs (clauses SCC, Binding Corporate Rules).

Outils pour auditer :

• CNIL – Guide des transferts internationaux
• EDPB – Recommandations post-Schrems II

3.2. Étape 2 : Remplacer les outils non conformes

Critères pour une alternative souveraine : ✅ Hébergement en UE (ou pays avec décision d’adéquation : Royaume-Uni, Japon, etc.). ✅ Éditeur sous juridiction européenne (pas de Cloud Act applicable). ✅ Chiffrement de bout en bout (pour les données sensibles). ✅ Certifications : ISO 27001, HDS (pour la santé), SecNumCloud (ANSSI).

Exemples par catégorie :

Besoin	Solution souveraine	Certifications
Comptabilité	Ciel Comptabilité	ISO 27001
Paie	Silae	HDS, ISO 27001
CRM	Dolibarr	Auto-hébergé (maîtrise totale)
Stockage cloud	Nextcloud	SecNumCloud (avec hébergeur agréé)
Messagerie	Mailo	RGPD, hébergement France
Visio	Jitsi (auto-hébergé)	Chiffrement E2E

3.3. Étape 3 : Sécuriser les transferts résiduels

Si un outil américain ne peut pas être remplacé (ex : logiciel métier spécifique), la CNIL impose :

1. Signer les clauses contractuelles types (SCC) mises à jour en 2021 (modèle CNIL).
2. Ajouter des mesures techniques :
   • Chiffrement avant transfert (ex : données pseudonymisées).
   • Minimisation des données (ne transférer que le strict nécessaire).
3. Documenter l’analyse de risque (template EDPB : lien).

Attention :

• Les SCC seules ne suffisent plus (CJUE, §149 de l’arrêt Schrems II).
• La CNIL peut demander la preuve des mesures techniques en cas de contrôle.

---

4. Cas pratique : comment migrer vers une solution souveraine ?

4.1. Exemple : Remplacer Microsoft 365 par une alternative UE

Problème : Un cabinet utilise Microsoft 365 (Outlook, Teams, OneDrive) avec des données clients stockées aux États-Unis.

Solution :

1. Choisir une alternative :
   • Messagerie : Mailo ou Zimbra (hébergé en France).
   • Collaboration : Nextcloud (fichiers + talk pour la visio).
   • Bureautique : LibreOffice ou OnlyOffice.
2. Planifier la migration :
   • Exporter les données depuis Microsoft 365 (format .pst pour les emails).
   • Importer dans la nouvelle solution (outils comme IMAPSync).
3. Former les équipes :
   • Sessions sur les différences d’interface (ex : Nextcloud vs OneDrive).
   • Bonnes pratiques de sécurité (mot de passe, 2FA).

Coût estimé :

• Licences : ~50-100 €/utilisateur/an (contre ~120 € pour M365).
• Migration : 1 000-3 000 € (prestataire spécialisé).

4.2. Exemple : Sécuriser un outil américain incontournable

Problème : Un cabinet utilise Salesforce (CRM) pour gérer ses prospects, avec des données transférées aux États-Unis.

Solution :

1. Négocier des SCC mises à jour avec Salesforce (modèle 2021).
2. Chiffrer les données sensibles avant transfert :
   • Utiliser un outil comme Cryptomator pour chiffrer les fichiers.
   • Pseudonymiser les données clients (ex : remplacer les noms par des identifiants).
3. Limiter les données transférées :
   • Ne pas stocker de données fiscales ou sociales dans Salesforce.
   • Utiliser des champs masqués pour les informations sensibles.

À vérifier :

• Salesforce propose des options “UE-only” (coût supplémentaire).
• La CNIL peut exiger une analyse d’impact (PIA) (art. 35 RGPD).

---

5. Schrems II et la souveraineté numérique : enjeux futurs pour les cabinets

5.1. L’évolution réglementaire

• Règlement ePrivacy (en discussion) : Renforcement des règles sur les cookies et le tracking.
• Data Governance Act (2022) : Encadrement des intermédiaires de données (ex : cloud providers).
• Projet de loi français sur la souveraineté numérique (2023) : Obligation pour les administrations et entreprises stratégiques d’utiliser des solutions souveraines.

Impact pour les cabinets :

• Pression accrue des clients (DAF, PME) pour des garanties de souveraineté.
• Avantage concurrentiel pour les cabinets utilisant des outils 100 % UE.

5.2. Les alternatives “made in France” à surveiller

Solution	Domaine	Avantages
Konfid	IA souveraine pour experts-comptables	RGPD, hébergement France, automatisation conforme
Lemlist	Emailing B2B	Alternative à Mailchimp (USA)
Malt	Gestion de freelances	Alternative à Upwork (USA)
Qonto	Néobanque pro	Alternative à Revolut (Royaume-Uni)

5.3. Le rôle de l’expert-comptable dans la conformité client

Les cabinets ont une opportunité :

• Auditer la conformité RGPD de leurs clients PME (service à valeur ajoutée).
• Recommander des outils souverains (ex : remplacer Stripe par Lemonway).
• Automatiser les vérifications avec des outils comme Konfid (détection des transferts illégaux).

Exemple de mission :

« Audit RGPD pour une PME de 50 salariés » :

• Cartographie des flux de données (outils RH, CRM, site web).
• Identification des transferts hors UE (ex : Google Analytics, Mailchimp).
• Proposition de correctifs (outils alternatifs + SCC).

---

Conclusion : agir maintenant pour éviter les risques

La décision Schrems II n’est pas une menace lointaine : la CNIL a déjà sanctionné des entreprises pour non-con