RGPD experts-comptables : guide OEC 2026

En une phrase. Les experts-comptables combinent RGPD, secret professionnel comptable (ordonnance 19 sept. 1945 art. 21), norme OEC anti-blanchiment, LCB-FT (depuis 1998), et traitement massif de données clients (salariés, fournisseurs, clients du client). L’Ordre des Experts-Comptables (OEC) publie un « Guide RGPD du cabinet d’expertise comptable » (2018, mis à jour 2022). Spécificités : statut sous-traitant vs responsable de traitement selon les missions, paie = données sensibles RH, cloud souverain privilégié pour les outils métier. CNIL a sanctionné en 2024 plusieurs cabinets en procédure simplifiée.

22 000 experts-comptables exercent en France (OEC 2024). Les cabinets sont sous-traitants au sens RGPD pour la grande majorité de leurs missions (compta tenue, paie, juridique). Cette qualification entraîne des obligations contractuelles strictes (DPA art. 28).

Pour approfondir : PSSI ANSSI, SecNumCloud, PCA ANSSI.

Points clés

• L’expert-comptable est sous-traitant RGPD pour la majorité des missions (compta, paie, juridique).
• DPA art. 28 obligatoire avec chaque client.
• Secret professionnel comptable (ordonnance 1945) parallèle au RGPD.
• LCB-FT : déclaration TRACFIN via OEC pour les avocats fiscalistes/comptables.
• Conservation : 10 ans documents comptables, 50 ans bulletins paie.

1. Cadre juridique consolidé

Texte	Champ
RGPD	Base générale
Ordonnance 19 sept. 1945	Statut expert-comptable, secret art. 21
Code commerce L123-22	Conservation comptable 10 ans
Code monétaire L561-2	LCB-FT
Loi PACTE 2019	Évolutions profession
Norme OEC 2010	LCB-FT
Guide OEC RGPD 2022	Référentiel sectoriel

2. Statut RGPD : la qualification clé

Pour chaque mission, le cabinet doit identifier son rôle :

Mission	Rôle cabinet
Tenue compta du client	Sous-traitant
Paie du client	Sous-traitant
Audit légal (CAC)	Responsable de traitement (mission légale)
Conseil patrimonial	Co-responsable
Compta cabinet (interne)	Responsable de traitement
Recrutement collaborateurs	Responsable de traitement
Marketing cabinet	Responsable de traitement

DPA art. 28 obligatoire pour les missions sous-traitance.

3. DPA expert-comptable : contenu minimal

Le DPA doit prévoir (art. 28 §3 RGPD) :

• Objet, durée, nature, finalité du traitement
• Type de données et catégories de personnes
• Obligations et droits du responsable
• Engagement de confidentialité
• Mesures de sécurité (annexe technique)
• Liste sous-traitants ultérieurs (cloud, logiciel)
• Notification violation < 24h
• Assistance droits des personnes
• Audit possible (sur place ou sur pièces)
• Sort des données en fin de mission

L’OEC publie un modèle de DPA sur experts-comptables.fr.

4. Logiciels métier expert-comptable

Solutions françaises principales :

• Sage Coala / Sage 100 (multi-tailles cabinets)
• Cegid Loop / Cegid Quadra (grands cabinets)
• MyUnisoft, Pennylane (cloud moderne)
• EBP, Ciel (TPE/PME)
• Tiime, Indy (cabinets dématérialisés)
• Acd, Quadratus (paie)

Critères de conformité 2026 :

• Hébergement UE/France
• DPA inclus
• Chiffrement
• MFA + RBAC
• Journalisation
• Réversibilité données

5. Cloud souverain pour cabinets

L’OEC recommande la souveraineté pour les données sensibles. Solutions :

• Outscale Suite (SecNumCloud)
• OVHcloud (SecNumCloud)
• Oodrive Sign / Drive (SecNumCloud)
• Worldline pour paiements et compta
• Cloud Temple (SecNumCloud)

Les éditeurs comptables passent progressivement à des hébergeurs qualifiés (Sage, Cegid, Pennylane sur OVH/Outscale).

6. Paie : un cas spécifique

La paie traite des données sensibles (salariés du client) :

• Données état civil + RIB + sécurité sociale
• Données fiscales
• Arrêts maladie (santé indirecte)
• Saisies sur salaires
• Tickets restaurant, chèques vacances

Sous-traitant du client (l’employeur). DPA strict.

Conservation paie :

• Bulletin paie (employeur) : 50 ans
• DSN : 6 ans
• Documents URSSAF : 5 ans

7. LCB-FT : régime spécifique

Depuis la loi du 12 juill. 1998 transposant 2e directive AML :

• Identification client + bénéficiaire effectif
• Vigilance permanente sur opérations
• Conservation 5 ans après fin relation
• Déclaration de soupçon à TRACFIN
• Filtre OEC : pas le cas, déclaration directe TRACFIN
• Norme OEC 200 (2010)

Sanctions LCB-FT : amendes ordinales + administratives (DGCCRF).

8. Recrutement et collaborateurs

Cabinet = responsable de traitement pour ses RH :

• Recrutement experts/collaborateurs/assistants
• Charte informatique
• Vidéosurveillance accueil (délibération CNIL 2024)
• Conservation dossier RH 5 ans après départ
• Bulletin paie 50 ans
• Engagement confidentialité signé (couvrant secret comptable)

9. Communication client : sécurité

À privilégier :

• Plateforme cliente sécurisée (espace dédié, intégrée logiciel métier)
• Échange chiffré (MyUnisoft, Pennylane intègrent E2EE)
• Signature électronique qualifiée eIDAS (Yousign, DocuSign, Universign, Oodrive)
• Pas d’envoi en clair des bulletins paie ou bilans
• Mail standard réservé aux échanges non sensibles

10. Conservation : durées légales

Document	Durée
Pièces comptables (livre, journal)	10 ans (art. L123-22 Com)
Bulletins paie (employeur)	50 ans
Bulletins paie (salarié)	5 ans
Déclarations fiscales	6 ans après terme
Documents juridiques (statuts, AG)	Permanent
KYC LCB-FT	5 ans après fin relation
Notes honoraires	10 ans
Mandats clients (LEC)	Durée mission + 10 ans
Cookies site cabinet	13 mois max

11. Sanctions et jurisprudence

Année	Entité	Sanction	Motif
2021	Cabinet (avert.)	—	Sécurité paie
2023	Cabinet (PS)	12 K€	Cookies
2024	Cabinet (PS)	18 K€	DPA absent + sécurité
2024	Réseau (avert.)	—	Sous-traitants cloud non identifiés
2025	Cabinet (PS)	15 K€	Droits non traités

Sanctions souvent en procédure simplifiée, pas systématiquement publiées.

12. Checklist cabinet expert-comptable 2026

À vérifier :

1. Inscription OEC à jour + Code de déontologie
2. Registre des traitements (responsable + sous-traitant)
3. DPA signé avec chaque client
4. Liste sous-traitants ultérieurs (cloud, logiciel) communiquée aux clients
5. Mentions information sur site + LEC + factures
6. Politique sécurité (PSSI cabinet)
7. MFA + chiffrement + sauvegardes 3-2-1
8. Cloud souverain ou justification
9. Procédure LCB-FT documentée + DS TRACFIN
10. Politique conservation par typologie
11. Cyber-assurance + RCP cyber
12. PCA testé annuellement

FAQ

L’expert-comptable est-il responsable ou sous-traitant ?

Pour la majorité des missions (tenue compta, paie, juridique du client) : sous-traitant. Pour l’audit légal (CAC) : responsable de traitement (mission légale). Pour ses traitements internes (clients, RH, marketing) : responsable de traitement. La distinction est cruciale pour les obligations contractuelles.

Le DPA est-il obligatoire avec chaque client ?

Oui (art. 28 RGPD) pour toutes les missions de sous-traitance. L’OEC publie un modèle. Il peut être intégré à la Lettre d’Engagement Client (LEC) ou être un annexe distinct. Sans DPA : non-conformité majeure tant pour le cabinet que pour le client.

Quel cloud pour un cabinet en 2026 ?

Pour les données sensibles : SecNumCloud (Outscale, OVH, Oodrive). Pour le bureautique : OneDrive/SharePoint acceptable avec DPF + chiffrement client. Logiciels métier : éditeurs hébergeant sur cloud français (Pennylane sur OVH, Sage sur OVH/Azure FR, etc.).

Combien de temps conserver un dossier client ?

Pièces comptables : 10 ans (art. L123-22 Code commerce). Documents fiscaux : 6 ans. Bulletins paie : 50 ans (employeur). Statuts et juridique : permanent. Notes honoraires : 10 ans. La cessation de la mission n’efface pas ces obligations légales.

Que faire en cas de violation de données client ?

(1) Notifier le client (responsable de traitement) sans délai (24h max selon DPA), (2) Documenter la violation, (3) Aider le client à notifier CNIL sous 72h, (4) Mesures techniques correctives, (5) Inscrire dans registre violations, (6) Si masse : communication coordonnée. Avocat RGPD recommandé.