Accueil › Ressources › RGPD expert-comptable

RGPD pour expert-comptable : la checklist 2026

Tout cabinet d'expertise comptable est responsable de traitement au sens du RGPD. Voici ce qu'il faut avoir en place — et les pièges à éviter.

Pourquoi le RGPD concerne tous les cabinets

Un cabinet manipule chaque jour des données personnelles : identités des clients personnes physiques, salariés des entreprises clientes, dirigeants, bénéficiaires effectifs, éventuellement des données financières et fiscales. Toutes relèvent du RGPD.

Le cabinet est responsable de traitement pour ses propres traitements (gestion clientèle, facturation, RH internes) et sous-traitant de ses clients pour les traitements effectués pour leur compte (paie, gestion comptable). Les deux statuts entraînent des obligations distinctes, à documenter séparément.

Le socle documentaire minimum

1. Registre des activités de traitement — article 30 RGPD, obligatoire sans seuil pour un cabinet (données financières considérées comme à risque).
2. Politique de confidentialité publiée sur le site et remise aux clients.
3. Contrats de sous-traitance (DPA) avec chaque éditeur SaaS, prestataire IT, archiveur. Les conditions générales ne suffisent pas : un DPA signé est requis.
4. AIPD (analyse d'impact) pour tout traitement à risque élevé : profilage, vidéo-surveillance, biométrie.
5. Procédures internes : gestion des demandes d'exercice de droits, notification de violation sous 72h.
6. Cartographie des transferts hors UE : sous-traitants américains, hébergement, outils analytics.

Les pièges fréquents

1. Outils SaaS américains

Malgré le Data Privacy Framework de 2023, l'utilisation d'outils US reste risquée : les autorités américaines peuvent y accéder via le Cloud Act et le FISA 702. Les cabinets exposés (DocuSign, Google Workspace, Microsoft 365 sans tenant souverain, outils de prise de RDV américains) doivent au minimum signer les clauses contractuelles types et documenter les mesures supplémentaires.

2. Mots de passe partagés et accès collaborateurs

Chaque collaborateur doit avoir son propre compte nominatif sur tous les outils. Les comptes partagés rendent impossible la traçabilité des accès, exigée par le RGPD.

3. Signature électronique non maîtrisée

Faire signer une lettre de mission via DocuSign ou Adobe Sign envoie le PDF et les métadonnées d'identification du client vers les États-Unis. Une signature électronique native hébergée en UE règle le problème.

4. Conservation des emails sans limite

Les boîtes mail de cabinet contiennent des données personnelles. Une politique de purge (archivage à 1 an, suppression définitive selon les durées légales) est nécessaire.

Durées de conservation à appliquer

• Pièces comptables : 10 ans (article L123-22 Code de commerce)
• Documents fiscaux : 6 ans (article L102 B LPF)
• Bulletins de paie : 5 ans
• KYC / LAB-FT : 5 ans après fin de relation d'affaires
• Prospects sans suite : 3 ans après dernier contact

Comment IAMSHIBA traite ces obligations

IAMSHIBA est conçu pour limiter les arbitrages RGPD du cabinet :

• Hébergement en France, infrastructure souveraine.
• Zéro sous-traitant hors UE : le DPA est court et opposable.
• Signature électronique native intégrée — pas de DocuSign.
• Shibot rules-based : aucune donnée envoyée à un LLM externe (OpenAI, Anthropic, Google).
• Pack RGPD prêt à l'emploi : DPA, politique de confidentialité, registre type, AIPD, fournis avec l'outil.
• Comptes nominatifs et journalisation activés par défaut, archivage 4-eyes pour les actes sensibles.