Le comptable et le GDPR
Il est très important de déterminer si vous, en tant qu’aide-comptable, comptable ou conseiller fiscal, êtes le contrôleur ou le sous-traitant en ce qui concerne le traitement des données à caractère personnel dans le cadre d’une mission particulière.
Le contrôleur détermine la finalité et les moyens du traitement des données à caractère personnel dans le cadre d’une activité commerciale particulière. Ainsi, le responsable du traitement détermine ce qui peut être fait avec les données à caractère personnel à traiter et la manière dont le traitement est effectué.
En tant que comptable, vous êtes parfois le responsable du traitement et également le contrôleur, ce qui a des conséquences sur vos responsabilités envers les personnes concernées et le gouvernement, en particulier le GBA.
Le comptable en tant que responsable du traitement des données à caractère personnel.
Il n’est pas correct de qualifier automatiquement l’expert-comptable de sous-traitant, car l’expert-comptable ne peut pas et ne veut pas toujours déterminer la finalité et les moyens du traitement des données à caractère personnel de ses clients.
Dans le cadre de la comptabilité des salaires, comme le calcul des salaires, le plan de pension et la déclaration des salaires, le comptable est le sous-traitant des données à caractère personnel qu’il reçoit du responsable du traitement. Ici, le responsable du traitement est celui qui détermine la finalité et les moyens du traitement des données à caractère personnel du personnel de son organisation.
De même, lors de la saisie des chiffres et de la déclaration de la TVA, le comptable est le sous-traitant des données à caractère personnel qu’il continue à traiter pour le compte du responsable du traitement. Il convient donc de définir clairement qui est le responsable du traitement et qui est le sous-traitant, dans l’accord de traitement.
Le comptable fiscal en tant que transformateur.
Si le comptable fournit des conseils fiscaux, c’est lui qui, en tant que conseiller, détermine la finalité et les moyens de ce traitement. C’est parce que le comptable agit en tant que conseiller fiscal qu’il est le responsable du traitement des données pour ce traitement. C’est le comptable lui-même qui traitera les données personnelles des citoyens dans le rapport à sa manière pour atteindre le résultat souhaité.
En tant que responsable du traitement des données, le comptable peut également fournir des conseils de gestion dans le domaine de la planification financière, de la planification des actifs ou des conseils économiques organisationnels.
En tant que mandataire de clients privés, l’expert-comptable agit également en tant que responsable du traitement des données, car il détermine alors la finalité et les moyens du traitement des données à caractère personnel au sein de cette organisation.
Les comptables doivent-ils désigner un DPD ?
Les comptables traitent des données sensibles à grande échelle. Bien que la lecture des cartes d’identité ne soit pas considérée comme une donnée personnelle sensible au sens du GDPR, le comptable doit tenir compte du principe de proportionnalité exigé par les règles du GDPR.
En cas de fraude de la part de ses clients, il est naturel que le comptable prenne note de l’article 10 de la législation sur la protection de la vie privée, mais le traitement des données à caractère personnel dans le cadre d’activités criminelles est interdit. Le traitement de ces données ne peut être effectué que par le gouvernement, les forces de police ou sous un contrôle gouvernemental strict.
Un cabinet comptable traite des données sensibles à grande échelle, comme le traitement de données financières et de données médicales dans le cas de soins informels, par exemple. Pour éviter tout conflit d’intérêts, le comptable travaillera avec un délégué à la protection des données (DPD) indépendant et externe. Le délégué à la protection des données cartographiera tous les traitements par le biais d’un audit GDPR et s’assurera, par le biais d’une DPIA ou évaluation d’impact de la protection des données, que les droits et libertés des citoyens dont les données personnelles sont traitées au sein de l’agence comptable sont sauvegardés.
En tant que comptable, suis-je également un contrôleur conjoint ?
Un comptable peut donc être à la fois le sous-traitant, le responsable du traitement et, dans certains cas, le coresponsable du traitement lorsqu’il traite des données à caractère personnel avec des clients.
Le comptable travaille parfois avec un conseiller juridique ou un avocat pour émettre conjointement des avis. Dans certaines missions, un comptable devra également travailler avec un auditeur d’entreprise, de sorte que les deux parties seront le contrôleur de données pour une partie du traitement des données à caractère personnel.
Dans ce cas, un accord de traitement sera établi en tant que “responsables conjoints du traitement”, car les parties coopérantes détermineront la finalité et les moyens dans le cadre d’un accord conjoint.
