Sector profesional

RGPD pour les cabinets comptables, les agences administratives et les études juridiques

Les cabinets comptables, les agences administratives et les études d'avocats traitent chaque jour des données personnelles de tiers — salariés, contribuables, parties à une procédure — dans leur rôle de sous-traitants au sens de l'article 28 du RGPD (Règlement général sur la protection des données, règlement UE 2016/679). La combinaison du secret professionnel, d'un volume élevé de données sensibles et d'obligations contractuelles envers chaque client fait de ce secteur l'un des plus exposés au contrôle de l'AEPD (Agencia Española de Protección de Datos, l'autorité espagnole de protection des données). Chez Summum Consultoria, nous vous accompagnons dans votre mise en conformité complète : contrats de sous-traitance, registres des activités dans leur double dimension, mesures de sécurité proportionnées au risque et formation de l'équipe, sans se substituer au rôle de surveillance du régulateur.

Texte applicableRGPD (UE) 2016/679 · LOPDGDD (LO 3/2018)
Figure juridique cléSous-traitant (art. 28 RGPD)
Autorité de contrôleAEPD — Agencia Española de Protección de Datos

Les cabinets de conseil fiscal, les agences administratives et les études d'avocats partagent une caractéristique qui les place dans une catégorie singulière au sein du cadre du RGPD : dans la grande majorité de leur activité, ils ne traitent pas leurs propres données, mais des données personnelles appartenant à la sphère de leurs clients. Une agence administrative qui gère des affiliations et des radiations à la sécurité sociale, un cabinet de conseil en droit du travail qui prépare les fiches de paie des salariés d'une entreprise, ou une étude qui gère un dossier contentieux-administratif opèrent tous, au sens de l'article 4, paragraphe 8, du règlement (UE) 2016/679, en tant que sous-traitants : des entités qui traitent des données personnelles pour le compte du responsable du traitement — le client — et selon ses instructions. Cette position juridique génère des obligations propres qui vont bien au-delà de la simple confidentialité professionnelle.

L'instrument central du régime du sous-traitant est le contrat de sous-traitance exigé par l'article 28 du RGPD. Ce contrat doit préciser l'objet, la durée, la nature et la finalité du traitement, le type de données et les catégories de personnes concernées, ainsi qu'un catalogue d'obligations spécifiques : traiter les données uniquement selon les instructions documentées du responsable du traitement ; garantir la confidentialité de l'ensemble du personnel autorisé ; appliquer des mesures de sécurité appropriées conformément à l'article 32 ; ne pas recourir à des sous-traitants ultérieurs sans autorisation préalable du responsable du traitement ; assister le responsable du traitement dans l'exercice des droits des personnes concernées et dans la gestion des violations de données ; restituer ou effacer les données à l'issue de la mission ; et fournir toutes les informations nécessaires pour attester du respect du règlement devant l'AEPD. L'Agence a publié un guide spécifique sur la relation responsable-sous-traitant qui développe en détail les contenus minimaux et les critères de validité de ces clauses.

Parallèlement à leur rôle de sous-traitants vis-à-vis de leurs clients, les cabinets comptables et les études juridiques agissent également en tant que responsables du traitement pour leurs propres données : salariés du cabinet, candidats en cours de recrutement, données de facturation et de comptabilité interne, vidéosurveillance des locaux ou communications commerciales. Ce double rôle — sous-traitant vis-à-vis des clients et responsable de leurs propres traitements — multiplie l'étendue de la mise en conformité nécessaire et oblige à tenir le registre des activités de traitement selon deux dimensions distinctes : en tant que responsable du traitement (article 30, paragraphe 1, RGPD) et en tant que sous-traitant (article 30, paragraphe 2, RGPD). Ces deux dimensions exigent des contenus différents et doivent être mises à jour à chaque fois qu'un nouveau client est ajouté, qu'un type de service est modifié ou que le circuit des données avec des prestataires externes change.

Le secteur des cabinets comptables et des études juridiques traite fréquemment des données présentant un risque élevé pour les personnes concernées : données de santé dans le traitement des arrêts maladie et des incapacités ; données relatives à des infractions pénales ou administratives dans les cabinets pénalistes ; données économiques et patrimoniales à fort impact dans les procédures d'insolvabilité ou les restructurations de dettes ; données concernant des mineurs dans les dossiers de droit de la famille. Le secret professionnel — consacré pour les avocats à l'article 542, paragraphe 3, de la loi organique sur le pouvoir judiciaire (Ley Orgánica del Poder Judicial) et dans le Statut général du barreau espagnol (Estatuto General de la Abogacía Española), et de façon équivalente dans les règles déontologiques des gestionnaires et des économistes — complète les obligations du RGPD sans les remplacer. Le cabinet ne peut pas s'abriter derrière le devoir de confidentialité pour se soustraire à l'obligation d'informer les personnes concernées conformément aux articles 13 et 14 du RGPD, de répondre à leurs demandes d'exercice de droits dans un délai d'un mois, ni de notifier les violations de données à l'AEPD dans les conditions de l'article 33 du règlement.

Le régime de sanctions de l'article 83 du RGPD, transposé en Espagne par la LOPDGDD (LO 3/2018, loi organique sur la protection des données personnelles et la garantie des droits numériques), n'établit pas de tranches différentes selon la taille de l'entreprise ou le secteur d'activité. Les infractions portant atteinte aux principes fondamentaux du traitement, aux droits des personnes concernées ou aux conditions du consentement peuvent entraîner des amendes pouvant aller jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant appliqué. Les manquements aux obligations du sous-traitant — notamment l'absence de contrat de sous-traitance ou le défaut de mesures de sécurité adéquates — peuvent atteindre jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial. Pour la grande majorité des cabinets comptables et des études juridiques, qui sont des PME ou des microentreprises, l'impact proportionnel d'une sanction peut être dévastateur ; et le préjudice réputationnel d'une décision publique de l'AEPD est encore plus difficile à réparer dans un secteur où la confiance du client est l'actif principal.

Chez Summum Consultoria, nous accompagnons les cabinets comptables, les agences administratives et les études d'avocats dans leur mise en conformité au RGPD avec une approche pratique, adaptée aux opérations réelles du secteur et respectueuse du rôle de surveillance de l'AEPD. Nous réalisons le diagnostic initial de l'ensemble des traitements, élaborons le registre des activités dans sa double dimension, rédigeons les contrats de sous-traitance adaptés à chaque type de service — fiscal, social, comptable, juridique —, mettons en place les avis de confidentialité pour les clients et les salariés, définissons les mesures de sécurité techniques et organisationnelles proportionnées au risque et formons l'équipe à ses obligations quotidiennes. Notre objectif est que le cabinet puisse attester devant l'AEPD, à tout moment et sans improvisation, qu'il gère les données de ses clients avec la diligence et la documentation que la réglementation exige.

Le processus RGPD pour les cabinets comptables, les agences administratives et les études juridiques.

Le processus · quatre étapes
01

Diagnostic et cartographie des traitements

Nous analysons l'ensemble des traitements de données personnelles du cabinet : aussi bien les siens propres — salariés, facturation, candidats, communications commerciales — que ceux effectués pour le compte de chaque client. Pour chaque traitement, nous identifions si le cabinet agit en tant que responsable ou sous-traitant, la base juridique applicable, les catégories de données concernées, les destinataires et les durées de conservation, et nous déterminons les lacunes de conformité prioritaires au regard du RGPD et de la LOPDGDD.

02

Contrats de sous-traitance et documentation en matière de confidentialité

Nous rédigeons les contrats de sous-traitance (art. 28 RGPD) adaptés à chaque type de service fourni par le cabinet : conseil social, fiscal, comptable ou juridique. Nous élaborons le registre des activités dans sa double dimension — responsable (art. 30, paragraphe 1) et sous-traitant (art. 30, paragraphe 2) —, les avis de confidentialité pour les clients et les salariés, la politique de confidentialité du site web et les clauses d'information conformément aux articles 13 et 14 du RGPD.

03

Mesures de sécurité et formation de l'équipe

Nous mettons en place les mesures de sécurité techniques et organisationnelles exigées par l'article 32 du RGPD, proportionnées au profil de risque réel du cabinet : politique de contrôle d'accès aux dossiers, gestion des mots de passe, chiffrement des documents sensibles, protocole d'utilisation des appareils portables et sauvegardes des données. Nous formons l'ensemble du personnel ayant accès aux données à ses obligations spécifiques : confidentialité, traitement des demandes d'exercice de droits et réponse aux incidents de sécurité.

04

Révision continue et gestion des incidents

La mise en conformité au RGPD n'est pas un projet de mise en œuvre ponctuelle, mais un système de gestion continu. Nous effectuons des révisions périodiques pour mettre à jour la documentation lorsque les traitements ou la réglementation évoluent, nous assistons dans le traitement des demandes d'exercice de droits des personnes concernées, nous répondons aux sollicitations de l'AEPD et nous accompagnons le cabinet dans la gestion de toute violation de données, y compris l'évaluation du risque et la notification à l'Agence dans le délai prévu par l'article 33 du RGPD.

Ce qui est inclus

Ce qu'inclut RGPD pour les cabinets comptables, les agences administratives et les études juridiques.

Le détail opérationnel : ce que nous livrons dans le cadre du travail et ce que nous maintenons vivant ensuite.

  • Contrats de sous-traitance (art. 28 RGPD)

    Rédaction des contrats entre le cabinet et ses clients lorsqu'il agit en tant que sous-traitant : objet, obligations du sous-traitant, instructions du responsable du traitement, confidentialité, sécurité, régime de sous-traitance ultérieure et restitution ou effacement des données à l'issue de la prestation.

  • Registre des activités dans la double dimension (art. 30 RGPD)

    Élaboration du registre en tant que responsable du traitement (art. 30, paragraphe 1) pour les données propres du cabinet, et en tant que sous-traitant (art. 30, paragraphe 2) pour les données traitées pour le compte de chaque client, avec les contenus minimaux exigés par le règlement.

  • Avis de confidentialité et clauses d'information

    Rédaction de la politique de confidentialité du site web, des avis destinés aux clients et aux salariés, et des clauses d'information conformément aux articles 13 et 14 du RGPD, adaptées aux types de données gérées par le cabinet dans chaque domaine de service.

  • Mesures de sécurité techniques et organisationnelles (art. 32 RGPD)

    Évaluation et documentation des mesures proportionnées au risque : contrôle d'accès aux dossiers, politique de mots de passe, chiffrement des documents sensibles, gestion des appareils portables, sauvegardes des données et destruction sécurisée des documents contenant des données personnelles.

  • Protocole de gestion des violations de données

    Conception du protocole interne pour détecter, classifier et gérer les incidents de sécurité : critères de notification à l'AEPD dans les 72 heures (art. 33 RGPD), modèles de notification, communication aux personnes concernées lorsque le risque est élevé (art. 34) et registre des violations (art. 33, paragraphe 5).

  • Formation et engagements de confidentialité

    Sessions de formation pratique pour l'équipe — personnel administratif, conseillers, avocats, stagiaires et collaborateurs externes — sur les obligations en matière de protection des données, et rédaction d'engagements individuels de confidentialité conformément à la LOPDGDD et au RGPD.

Questions fréquentes sur RGPD pour les cabinets comptables, les agences administratives et les études juridiques.

Dans quels cas un cabinet comptable ou une agence administrative agit-il en tant que sous-traitant ?

Un cabinet comptable ou une agence administrative agit en tant que sous-traitant dès lors qu'il traite des données personnelles pour le compte de son client et selon les instructions de ce dernier. Les cas les plus courants sont : un cabinet de conseil en droit du travail qui gère les fiches de paie, les contrats de travail et les arrêts maladie des salariés d'une entreprise cliente ; une agence administrative qui traite des déclarations fiscales ou des affiliations à la sécurité sociale incluant des données de tiers ; une étude d'avocats qui manipule de la documentation procédurale contenant des données personnelles des parties. Dans tous ces cas de figure, l'article 28 du RGPD exige qu'il existe un contrat de sous-traitance entre le cabinet et son client, et que le cabinet remplisse les obligations spécifiques que cet article impose au sous-traitant. Sans ce contrat, le cabinet comme le client se trouvent en situation de non-conformité.

Que doit contenir le contrat de sous-traitance avec les clients ?

L'article 28, paragraphe 3, du RGPD fixe les contenus minimaux obligatoires : l'objet et la durée du traitement, sa nature et sa finalité, le type de données et les catégories de personnes concernées. En outre, le contrat doit préciser les obligations concrètes du sous-traitant : traiter les données uniquement selon les instructions documentées du responsable du traitement ; garantir la confidentialité de l'ensemble du personnel autorisé ; appliquer les mesures de sécurité de l'article 32 ; ne pas recourir à des sous-traitants ultérieurs sans autorisation préalable du responsable du traitement ; assister le responsable dans l'exercice des droits des personnes concernées et dans la gestion des violations de données ; restituer ou effacer les données à l'issue de la mission ; et fournir les informations nécessaires pour attester du respect du règlement. L'AEPD dispose d'un guide spécifique sur la relation responsable-sous-traitant qui développe le contenu et l'interprétation de chacune de ces clauses.

Une étude d'avocats ou une agence administrative est-elle tenue de désigner un DPD ?

L'obligation de désigner un délégué à la protection des données (DPD) dépend des caractéristiques concrètes des traitements. Selon l'article 37, paragraphe 1, du RGPD, le DPD est obligatoire lorsque les activités principales du responsable du traitement ou du sous-traitant impliquent un traitement à grande échelle de catégories particulières de données (art. 9 RGPD, telles que des données de santé) ou un suivi régulier et systématique à grande échelle des personnes concernées. Pour la plupart des cabinets et agences de petite ou moyenne taille, cette condition n'est pas remplie et le DPD n'est pas légalement obligatoire. La LOPDGDD (LO 3/2018) ajoute des cas spécifiques d'obligation de désignation en Espagne pour certaines entités, mais n'établit pas d'obligation générale pour le secteur du conseil. Indépendamment de l'obligation légale, disposer d'un DPD externe apporte une sécurité juridique, une disponibilité experte auprès de l'AEPD et une supervision continue de la conformité.

Le cabinet peut-il partager les données de ses clients avec des collaborateurs externes ou des logiciels en nuage ?

Lorsque le cabinet sous-traite une partie du traitement à un collaborateur externe, un gestionnaire associé ou un fournisseur de logiciels en nuage, ce tiers agit en tant que sous-traitant ultérieur. L'article 28, paragraphe 2, du RGPD exige que le cabinet obtienne l'autorisation préalable du client (responsable du traitement) pour recourir à des sous-traitants ultérieurs, et que le sous-contrat impose au sous-traitant ultérieur les mêmes obligations de sécurité et de confidentialité que le contrat principal. Si le logiciel de gestion du cabinet traite les données des clients sur des serveurs tiers, le fournisseur est un sous-traitant ultérieur et le cabinet doit vérifier qu'il dispose du contrat adéquat et que le fournisseur applique des mesures de sécurité équivalentes à celles exigées par l'article 32 du RGPD.

Quelles sanctions l'AEPD peut-elle imposer à un cabinet comptable ou à une étude qui ne respecte pas le RGPD ?

L'article 83 du RGPD établit un régime de sanctions échelonné. Les infractions les plus graves — violer les principes fondamentaux du traitement, les droits des personnes concernées ou les conditions du consentement — peuvent entraîner des amendes pouvant aller jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant appliqué. Les manquements aux obligations du sous-traitant — tels que ne pas avoir formalisé le contrat de l'article 28 ou ne pas appliquer les mesures de sécurité adéquates — peuvent entraîner des amendes pouvant aller jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial. L'AEPD prend en compte comme circonstances atténuantes la coopération avec l'Agence, les mesures adoptées pour réduire les préjudices et le caractère non intentionnel de l'infraction ; le montant final dans le cas d'une PME est pondéré en fonction de sa capacité économique réelle.

Quelle est la différence entre la LOPD abrogée et la LOPDGDD en vigueur pour ce qui concerne les cabinets ?

La loi organique 15/1999 sur la protection des données (LOPD) a été abrogée et remplacée par la loi organique 3/2018 sur la protection des données personnelles et la garantie des droits numériques (LOPDGDD), qui aligne l'ordre juridique espagnol sur le RGPD applicable depuis le 25 mai 2018. Pour les cabinets comptables et les études juridiques, les différences les plus pertinentes sont : la LOPDGDD réglemente expressément le traitement des données dans le domaine du travail et les conditions du consentement des salariés ; elle élargit les droits numériques des salariés, comme le droit à la déconnexion numérique ; elle réglemente la figure du DPD et les cas d'obligation de désignation en Espagne ; et elle articule le régime de sanctions conformément à l'article 83 du RGPD. Documenter les traitements conformément à la LOPDGDD en vigueur, et non à la LOPD abrogée de 1999, est la norme exigible devant l'AEPD.