RGPD pour cabinet EC : la check-list 2026

Un cabinet d'expertise comptable manipule au quotidien des données qui cumulent deux régimes de protection : le secret professionnel du Code pénal et le RGPD. La conformité n'est pas optionnelle, et la CNIL contrôle de plus en plus les professions réglementées.

Voici la check-list pratique 2026, structurée autour des 8 obligations qui concernent réellement un cabinet de moins de 250 collaborateurs.

1. Pourquoi le RGPD est critique pour un cabinet EC

Un cabinet EC traite des données qui sont à la fois protégées par le secret professionnel (article 226-13 du Code pénal, jusqu'à 1 an de prison et 15 000 € d'amende en cas de violation) et par le RGPD (jusqu'à 4 % du chiffre d'affaires annuel mondial ou 20 M€).

Beaucoup de cabinets pensent que leurs clients sont des personnes morales et que le RGPD ne s'applique donc pas. C'est faux : derrière chaque société cliente, il y a des personnes physiques dont les données sont traitées :

• Dirigeants (nom, adresse personnelle, date de naissance, parts détenues)
• Associés personnes physiques
• Salariés du client (paie, DSN, déclarations sociales)
• Bénéficiaires effectifs (registre RBE)
• Conjoints et héritiers en cas de transmission

Le cabinet est responsable de traitement pour ses propres données (facturation, CRM, RH internes) et sous-traitant au sens de l'article 28 RGPD pour les données de ses clients.

2. DPO : obligatoire ou pas ?

L'article 37 du RGPD impose la désignation d'un Délégué à la Protection des Données dans trois cas :

1. Autorité ou organisme public
2. Traitement à grande échelle de données sensibles
3. Suivi régulier et systématique à grande échelle

Pour un cabinet EC standard de moins de 250 collaborateurs, la désignation n'est pas obligatoire. La CNIL recommande toutefois fortement la désignation d'un référent RGPD interne ou d'un DPO mutualisé (souvent via un avocat ou un cabinet spécialisé).

La désignation d'un DPO se déclare auprès de la CNIL en ligne (formulaire dédié) et constitue une circonstance atténuante en cas de contrôle.

3. Le registre des traitements (article 30)

L'article 30 RGPD impose la tenue d'un registre des activités de traitement. C'est le document que la CNIL demande en premier en cas de contrôle. Pour un cabinet EC type, le registre contient au minimum :

Le registre doit être tenu à jour en continu et présentable sur simple demande de la CNIL ou d'un client.

4. DPA avec sous-traitants (article 28)

Tout sous-traitant qui accède à des données personnelles doit signer un Data Processing Agreement (DPA) avec le cabinet. Pour un cabinet EC français, les sous-traitants typiques sont :

• Éditeurs de logiciels : Sage, Cegid, ACD, Quadratus, RCA, Agiris
• Plateformes cloud : Microsoft 365, Google Workspace, AWS, OVH
• Signature électronique : Yousign, DocuSign, Lex Persona
• Banques et établissements de paiement (en flux entrant)
• Outils transverses : CRM, helpdesk, antivirus, sauvegarde
• Sous-traitants RH : paie externalisée, médecine du travail
• SaaS métier : automatisation AGOA, dématérialisation factures

Chaque DPA doit notamment préciser : finalité, durée, type de données, mesures de sécurité, recours à des sous-sous-traitants, transferts hors UE, modalités de restitution ou suppression en fin de contrat.

Action concrète : tenir un tableau récapitulatif de tous les DPA signés, avec date, version et lien vers le document signé. C'est la seconde pièce que la CNIL demande après le registre.

5. Droits des personnes concernées (articles 15 à 22)

Le RGPD accorde aux personnes physiques 7 droits opposables :

1. Droit d'accès (art. 15)
2. Droit de rectification (art. 16)
3. Droit à l'effacement (art. 17)
4. Droit à la limitation (art. 18)
5. Droit à la portabilité (art. 20)
6. Droit d'opposition (art. 21)
7. Droit relatif aux décisions automatisées (art. 22)

Dans un contexte cabinet EC, ces droits sont exercés principalement par les dirigeants des sociétés clientes, parfois par leurs salariés (notamment sur la paie). Le cabinet doit pouvoir répondre dans un mois maximum (prolongeable de deux mois en cas de complexité).

Attention : le droit à l'effacement n'est pas absolu quand il se heurte à une obligation légale de conservation (10 ans pour les documents comptables, art. L. 123-22 du Code de commerce). Il faut alors expliquer le refus en s'appuyant sur l'obligation légale.

6. Notification de violation 72 h (articles 33-34)

En cas de violation de données (accès non autorisé, perte, fuite, ransomware), le cabinet doit :

• Notifier la CNIL dans les 72 heures via le téléservice dédié, sauf si la violation n'est pas susceptible d'engendrer un risque pour les droits et libertés des personnes
• Informer les personnes concernées sans délai si la violation est susceptible d'engendrer un risque élevé
• Documenter toute violation dans un registre interne, même celles non notifiées (art. 33.5)

Procédure recommandée à formaliser à l'avance :

1. Identifier la violation (qui, quoi, quand, ampleur)
2. Contenir l'incident (couper les accès, isoler les systèmes)
3. Évaluer le risque (échelle : faible / moyen / élevé)
4. Notifier la CNIL si nécessaire
5. Notifier les personnes concernées si risque élevé
6. Documenter l'incident dans le registre des violations

7. Sécurité minimum exigée par la CNIL

La CNIL publie un guide de sécurité des données personnelles qui fait référence en cas de contrôle. Les mesures attendues d'un cabinet EC en 2026 :

• Chiffrement des disques (BitLocker, FileVault) et des sauvegardes
• MFA obligatoire sur tous les comptes (messagerie, logiciels métier, VPN, accès cloud)
• RBAC : chaque collaborateur n'accède qu'aux dossiers de ses clients
• Audit log immuable de toutes les opérations sensibles (accès, export, modification, signature, suppression)
• Backups chiffrés quotidiens, testés au moins une fois par trimestre, avec une copie hors ligne ou immuable
• Mots de passe robustes (12 caractères mini) et politique de rotation
• Charte informatique signée par tous les collaborateurs
• Sensibilisation phishing au moins annuelle

L'absence de l'une de ces mesures est considérée comme une faute caractérisée en cas d'incident.

8. Sanctions CNIL : la tendance 2024-2025

La CNIL a sanctionné plusieurs professions réglementées (avocats, notaires, professionnels de santé) pour des manquements récurrents :

• Absence de DPA avec un sous-traitant cloud
• Conservation excessive de données après fin de mission
• Absence de chiffrement des sauvegardes
• Absence d'authentification forte sur la messagerie
• Mauvaise gestion d'une demande de droit d'accès

Les amendes pour des structures comparables à un cabinet EC moyen oscillent généralement entre 5 000 € et 250 000 €, sans compter le préjudice de réputation. Les sanctions sont publiées sur le site de la CNIL et apparaissent dans les premiers résultats Google sur le nom du cabinet.

La meilleure défense reste la documentation : registre, DPA, procédure de violation, charte, preuves de formation. Un cabinet qui montre qu'il a fait le travail s'expose à des sanctions très réduites même en cas de manquement résiduel.

---

Essayez PV-Express — DPA et registre des traitements générés automatiquement avec votre identité cabinet, prêts à valider par votre DPO.