Jean-Luc Kirchgessner, Sadec-Akelys : « Avant de proposer un service d’accompagnement au RGPD, les cabinets comptables doivent travailler sur leur propre conformité »

Interviews
Outils
TAILLE DU TEXTE

Six mois après l’entrée en vigueur du médiatique RGPD, Jean-Luc Kirchgessner, PDG de CIAGEC, filiale informatique du cabinet d'expertise comptable Sadec-Akelys, fait le point sur la mise en œuvre de ce texte dans les TPE-PME et décline les bonnes pratiques en la matière pour les entreprises et leurs accompagnants experts-comptables.

Six mois après l’entrée en vigueur du RGPD, où en sont les TPE-PME françaises dans leur mise en conformité ?

Selon Smart GDPR, en mars 2018, 80 % des entreprises françaises estimaient ne pas être prêtes pour la conformité au RGPD. Malgré tout, la France n’était pas le mauvais élève car dans la région limitrophe Allemagne, Autriche, Suisse, 75 % des structures étaient dans le même cas.

Qu’en est-il six mois après l’entrée en vigueur du texte ? Si j’analyse de manière concrète le panel des clients gérés par notre cabinet d’expertise comptable, je me rends compte que les PME d’une certaine taille se préoccupent très sérieusement de cette obligation de conformité au RGPD. En tant que tiers de confiance, nous avons été consultés de manière significative par plusieurs d’entre elles. Elles ont démarré le processus de mise en conformité, ont désigné un responsable du traitement des données personnelles et se sont surtout attelées à la mise en place des registres de traitement des données personnelles.

En revanche, les TPE ont pour une large part occulté cette obligation. Elles se sentent beaucoup moins concernées, bien que détentrices également de données personnelles. Par exemple, nous avons mis à disposition de ces structures un outil web de mesure de leur éligibilité au RGPD, mais les retours de consultations et d’utilisations de l’outil sont faibles. Les dirigeants de TPE connaissent l’existence du RGPD mais ils n’ont pas de vision claire de l’obligation. Ils ne sont pas sensibilisés aux pénalités et se disent préoccupés par d’autres obligations.

Quels sont selon vous les axes à prioriser pour la compliance RGPD ?

Les documents mis à disposition par la CNIL – très bien détaillés – préconisent six étapes. Pour ma part, je commencerais à construire sur des certitudes en étant très pragmatique. Je vois quatre axes à prioriser.

Avant tout, je pense qu’il faut s’assurer que tous les fournisseurs de logiciels ou autres outils de l’entreprise sont bien éligibles aux obligations du RGPD. Ensuite, une communication claire s’impose, auprès du personnel de l’entreprise et des tiers avec qui des échanges sont effectués. Par exemple, notre cabinet d’expertise comptable a adressé à tous ses clients un état d’avancement de ses travaux en matière de RPGD, en toute transparence.

Un point important consiste également à documenter les traitements réalisés dans l’entreprise. Il s’agit de cartographier les flux d’informations personnelles et de vérifier si certaines données peuvent être qualifiées de sensibles. Le cas échéant, il faudra s’assurer de l’autorisation de conservation de telles informations.

Enfin, dernier aspect : l’axe sécuritaire. Le RGPD introduit une véritable culture du risque de la collecte d’informations : leur utilité par rapport aux traitements effectués, la sécurité des accès, l’archivage, le droit à l’oubli… Je pense que cette compliance peut aussi se voir comme une opportunité collaborative de remise à plat en toute transparence des systèmes d’information.

Pour finir, quels sont vos conseils pour les experts-comptables qui accompagnent leurs clients entreprises sur le volet RGPD ?

Le point fondamental consiste dans le fait que, avant de se lancer dans l’élaboration d’un service d’accompagnement au RGPD, les cabinets doivent avoir travaillé sur leur propre mise en conformité, afin d’avoir une vision claire et pragmatique des futurs besoins de leurs clients. L’objectif est de mettre cette expérience au service du client.

Le cabinet doit avant tout proposer à l’entreprise de nommer un responsable du traitement des données personnelles, qui sera son interlocuteur privilégié. Il pourra ensuite conseiller à son client de communiquer en toute transparence sur le sujet des données personnelles. Il pourra également accompagner l’entreprise sur la mise en place du registre des traitements, qui détermine la cartographie des données personnelles, puis sur la qualification et la procédure relative aux données sensibles. Concernant la sécurité, la gestion des accès, les sauvegardes… le cabinet pourra conseiller à son client de faire établir un audit plus ou moins détaillé de son système d’information.

Il conviendra enfin de s’assurer au cours du temps, de la continuité du respect de ces obligations, en fonction des évolutions réglementaires à venir.

Propos recueillis par Hugues Robert

Les Annuaires du Monde du Chiffre