RGPD — REGLEMENT GENERAL DE LA PROTECTION DES DONNEES —- Version Actuelle au 1/1/2020 —

Données numériques et protection des données personnelles du client (loi Informatique et Libertés et RGPD)

A l’expiration du contrat, pour quelle que cause que ce soit (arrivée à échéance ou résiliation anticipée), les données numériques du client stockées sur la plateforme d’échanges de données seront détruites 6 mois après la date d’expiration du contrat.Notre politique sur l’usage de vos données disponible sur notre site internet à lefevre-audit.fr/rgpd précise la manière dont nous traitons vos données et vous informe des droits dont vous disposez en tant que personne physique concernée par un traitement de données personnelles.

Chaque partie s’engage à se conformer aux dispositions du Règlement (UE) 2016/679 (« Règlement Général sur la Protection des Données » ou « RGPD ») et de la loi n° 78-17 du 6 janvier 1978 modifiée, relative à l’informatique, aux fichiers et aux libertés.

Information du client. Le client est informé que le cabinet est ou peut être amené, dans le cadre de la réalisation de sa mission, à collecter auprès du client et à traiter des données à caractère personnel concernant notamment ses dirigeants, associés, membres de son personnel, clients et autres partenaires commerciaux. Ces données ne sont collectées et traitées par le cabinet que dans la mesure strictement nécessaire à la réalisation de sa mission, au respect de ses obligations légales et réglementaires ou aux fins de ses intérêts légitimes.

Ces données ne font pas l’objet d’un transfert en dehors de l’Union européenne.

Toute personne physique dont les données à caractère personnel font l’objet d’un traitement par le cabinet bénéficie sur ces données d’un droit d’accès, de rectification, d’effacement, d’un droit à la portabilité ainsi qu’un droit à la limitation et un droit d’opposition au traitement effectué sur ces données.

Le client reconnaît avoir pris connaissance de la Politique de protection des données du cabinet, accessible sur le site internet http://www.lefevre-audit.fr/RGPD/ ou disponible à la demande, annexe qui rappelle les obligations du cabinet en qualité de responsable de traitement dans le cadre de sa relation avec le client (notamment dans le cadre de la gestion de la relation commerciale et marketing du cabinet avec le client).

Toute demande d’information complémentaire ou d’exercice des droits susvisés doit être adressée par courriel à : rgpd@lefevre-audit.fr

Engagements du client. Aux fins de réalisation par le cabinet de la mission confiée par le client, celui-ci : (i) Atteste avoir fourni aux personnes physiques concernées l’information requise et, le cas échéant, avoir recueilli leur consentement, dans les conditions prévues par la réglementation susvisée, aux fins de communication au cabinet et de traitement par cette dernière des données à caractère personnel concernant ces personnes ; (ii) Autorise expressément le cabinet à traiter les données à caractère personnel communiquées par le client ; (iii) S’engage à répondre aux demandes d’exercice de droits exercés par les personnes physiques concernées.

Obligations des parties. Aux termes de la réglementation susvisée, le client est responsable du traitement desdites données et le cabinet intervient, selon la mission concernée, en qualité de sous-traitant du client et dans des cas exceptionnels en qualité de responsable conjoint du traitement.

Intervention du cabinet en qualité de sous-traitant. Dans le cadre de l’exécution de sa mission, le client fournit au cabinet des instructions détaillées et explicites, limitant la marge de manœuvre du cabinet. En pareille hypothèse, le cabinet agit uniquement sur instruction du client et à la qualité de sous-traitant du client au sens du RGPD.

Dans ce cadre, le cabinet s’engage à : (i) Traiter les données uniquement pour la ou les seule(s) finalité(s) qui fait ou font l’objet de la sous-traitance ; (ii) Traiter les données conformément aux instructions du client figurant dans la lettre de mission conclue; (iii), Dans le cas où le cabinet serait amenée à recruter des sous-traitants pour réaliser des prestations dans lesquels des traitements de données à caractère personnel sont effectués, à en informer le client ; (iv) Garantir la confidentialité des données traitées dans le cadre de sa mission ; (v) S’assurer que son personnel impliqué dans le traitement des données à caractère personnel: – s’engage à respecter la confidentialité des données traitées soit par voie contractuelle, soit par l’effet de la loi ; – reçoive la formation nécessaire en matière de protection des données à caractère personnel – s’engage à prendre des mesures commercialement raisonnables pour assurer la fiabilité de tout membre du personnel impliqué dans le traitement des données à caractère personnel; (vi) Notifier au client toute violation de données à caractère personnel dans les plus brefs délais après en avoir pris connaissance; (vii) Assister le client, dans la mesure du possible, à remplir son obligation de donner suite aux demandes d’exercice des droits des personnes concernées et transmettre au client, dès réception, toute demande d’exercice de ses droits par une personne concernée ; (viii) Mettre à la disposition du client la documentation nécessaire afin de démontrer le respect de ses obligations au titre de la réglementation applicable. Par ailleurs, le cabinet s’engage à mettre en œuvre les mesures techniques et organisationnelles garantissant un niveau de sécurité adapté au risque, notamment : (a) Les moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ; (b) Les moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ; (c) Une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement. (ix) Selon le choix du client, à l’issue de la mission, supprimer toutes les données à caractère personnel à moins que le droit de l’Union ou le droit de l’État membre n’exige la conservation des données à caractère personnel.

Intervention du cabinet en qualité de responsable conjoint du traitement. Dans de rares hypothèses le cabinet peut être qualifié de coresponsable de traitement. Le client et le cabinet s’engagent en pareille hypothèse à prendre toutes mesures nécessaires afin de préserver la sécurité des informations et notamment les protéger contre toute destruction accidentelle ou illicite, perte accidentelle, altération, diffusion ou accès non autorisés. Un contrat ad hoc régira la relation du client et du cabinet dans l’hypothèse où le cabinet interviendrait en qualité de coresponsable de traitement.

Recours à la sous-traitance. Dans le cas où le cabinet est amené à recruter des sous-traitants pour réaliser des prestations pour lesquelles des traitements de données à caractère personnel sont effectués, le cabinet veillera notamment à :

– fournir sur demande du client la liste des sous-traitants à effectuer en écrivant à rgpd@lefevre-audit.fr;

– à s’assurer que tous les sous-traitants s’engagent au même degré d’obligation que ceux du cabinet concernant la protection des données à caractère personnel. Le cabinet demeure pleinement responsable à l’égard du client de l’exécution par ses sous-traitants de leurs obligations.

7-1 – Détails des traitements

Le cabinet est qualifié de sous-traitant et agit uniquement sur instructions de son client et au nom et pour le compte de son client pour les missions suivantes :

  • Mission d’établissement des bulletins de paie

  • Mission de tenue ou révision de la comptabilité et établissement des comptes annuels et des déclarations fiscales

Il appartient au client d’informer les personnes concernées des opérations de traitement au moment de la collecte des données.

Nature et objet du Traitement

Lorsque cela est nécessaire à la fourniture des services prévue par la lettre de mission, l’expert-comptable procèdera au traitement de données à caractère personnel, au nom et pour le compte de son client. 

Durée du Traitement

L’expert-comptable procèdera au traitement de données à caractère personnel pour toute la durée du contrat, sauf accord contraire entre les parties, formulé par écrit. 

Types de Données à Caractère Personnel et durées de conservation

Les catégories de données collectées dans le cadre de la mission n’excèdent pas celles prévues par les dispositions du Code du travail et du Code de commerce.

Catégories de Personnes Concernées

Le client peut soumettre des données à caractère personnel au cabinet, le champ de cette soumission étant déterminé et contrôlé par le client à sa seule discrétion, pouvant inclure, mais sans s’y limiter, des données à caractère personnel relatives aux catégories suivantes de personnes concernées :

  • Employés, stagiaire, apprenti, ou travailleurs indépendants

  • Clients (dirigeant et points de contact)

  • Membres de la famille du client (époux, épouse, conjoint, enfant)

  • Interlocuteurs Fournisseur

  • Interlocuteur Partenaires d’affaires

  • Prospects

  • Candidats

7-2 Mesures de sécurité technique et organisationnelle

Les mesures techniques et organisationnelles mises en œuvre par le cabinet sont les suivantes :

Contrôle des accès

Le sous-traitant met en œuvre les mesures appropriées afin d’empêcher que des personnes non autorisées aient accès à l’équipement de traitement des données.

  • Autorisations d’accès pour les employés et les tiers ;

  • Identification des personnes selon le niveau d’habilitation ;

  • Système d’alarme de sécurité ou autres mesures de sécurité appropriées après le temps de travail ;

  • Sécurisation des équipements informatiques décentralisés et des ordinateurs personnels ;

  • Protection et restriction du chemin d’accès ;

  • Exigences de vérification interne (principe des quatre yeux) ;

  • Sécurité 24 heures sur 24, 7 jours sur 7, avec plusieurs niveaux d’authentification.

  • Sécurisation du bâtiment.

Contrôle de l’utilisateur

Le sous-traitant met en œuvre les mesures appropriées pour empêcher la lecture, la copie, la modification ou le retrait non autorisés des supports de données, l’entrée non autorisée dans la mémoire, la lecture, la modification ou la suppression des données enregistrées, à savoir :

  • Système d’autorisation

  • Fichier journal des événements (surveillance des tentatives d’effraction) ;

  • Authentification du personnel autorisé ;

  • Utilisation du chiffrement pour les fichiers de sécurité critiques ;

Contrôle de l’organisation

Le sous-traitant a défini des procédures internes conformes aux exigences de la loi sur la protection des données :

  • Politiques et procédures internes de traitement des données, lignes directrices, instructions de travail, descriptions de processus et règlements concernant la programmation, les essais et la diffusion ;

  • Sensibilisation du personnel au RGPD ;

  • Procédure en cas de faille de sécurité ;

  • Obligation de confidentialité renforcée du personnel.