Politique de confidentialité activité d’Expertise Comptable en France
Politique de confidentialité - Expertise Comptable
Ce document a pour objectif de décrire les grandes lignes de la politique de Forvis Mazars pour protéger les Données à Caractère Personnel (« DCP »), collectées lors de la préparation des travaux d’expertise comptable qui comprennent notamment l’assistance à l’établissement des comptes annuels, assistance à l’élaboration des déclarations fiscales, réalisation de missions accessoires telles que la gestion RH, établissement de la paie, secrétariat juridique pour les clients de Forvis Mazars en France.
Ce document précise la gestion des DCP pendant les missions d’expertise comptable dans le cadre de la mise en conformité avec le Règlement Européen sur la Protection des données (UE) 2016/679. (« RGPD »).
1. Dispositions générales
Dans le cadre des missions qui lui sont confiées, Forvis Mazars en France traite les Données à caractère personnel conformément aux lois et règlements en vigueur relatifs à la protection des Données à caractère personnel, conformément La loi Informatique et Libertés du 17 juin 2019, loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
Les Données à caractère personnel demeurent la propriété du Client, ce dernier intervenant en tant que Responsable de Traitement. Ce dernier est seul responsable du respect de ses obligations en tant que Responsable de Traitement en vertu de la réglementation en vigueur à l’égard des Personnes Concernées et des autorités de contrôle (notamment la CNIL).
Le Client est responsable de l'exactitude et de l'intégrité des Données à caractère personnel.
Le Client s’engage à mettre à disposition de Forvis Mazars toutes les informations nécessaires à la réalisation des opérations de Traitement par Forvis Mazars.
Forvis Mazars intervient en tant que sous-traitant du Client, au sens des dispositions des articles 4 et 28 du RGPD. A ce titre, Forvis Mazars s’engage à traiter les Données à caractère personnel conformément aux instructions documentées fournies par le Client, dont ce dernier est seul responsable.
Le Client en tant que Responsable de Traitement est notamment responsable :
- Du respect du principe de minimisation, selon lequel seules les Données à caractère personnel nécessaires à la finalité du Traitement doivent être traitées ;
- De l’obligation d’information des Personnes Concernées, dont notamment le transfert à Forvis Mazars
- Du recueil du consentement des Personnes Concernées,
Nous ne vendons ni ne louons les données personnelles que vous nous transmettez ou qui vous concernent à quelque fin que ce soit.
Pour toute question complémentaire concernant les données à caractère personnel, le délégué à la protection des données de Forvis Mazars en France vous répondra à l’adresse mail dédiée dpo@mazars.fr
2. Pourquoi Forvis Mazars traite vos données ?
Forvis Mazars ne traite les données personnelles que pour des finalités déterminées, explicites et légitimes. Forvis Mazars ne traite pas ces données de manière incompatible avec ces finalités.
Nous sommes amenés à collecter des données à caractère personnel à des fins suivantes :
- l’assistance à l’établissement des comptes annuels,
- assistance à l’élaboration des déclarations fiscales professionnelles et personnelles,
- réalisation de missions accessoires telles que la gestion RH,
- établissement de la paie, préparer les bulletins de paies du personnel du client
- secrétariat juridique
- Communiquer avec le client : Répondre à des demandes d'information émises par le client, Gérer la communication opérationnelle (incident, évolutions fonctionnelles, sécurité, …), Gérer la communication commerciale
- Assister le client : Assister pour la résolution d'incidents techniques ou des difficultés d'usage
- Gérer l'accès du client : Authentifier les utilisateurs, provisionner les droits d'accès et surveiller les accès
- Gérer l’accès du client : créer les comptes et les utilisateurs dans les logiciels tiers, initialiser les paramétrages par défaut dans les services tiers
- Réaliser les contrôles des travaux du client,
- Traiter les documents en provenance des fournisseurs du client
- Tenir la comptabilité du client, réviser ou superviser les opérations comptables
- Et tous les autres travaux participant à la tenue de la comptabilité, à la supervision de tels travaux, ou à la révision de ce type de travaux comptables.
- Vérifier et documenter l’actionnariat du client
- L’affiliation aux régimes de protection sociale
- Et tous les autres travaux participant à la mission de tenue de la paie et du social.
3. Catégories des données à caractère personnel traitées
Dans le cadre des activités d’Expertise-Comptable, les équipes de Forvis Mazars en France sont amenées à traiter les catégories de DCP qui suivent :
- Les contacts du client de Forvis Mazars qui interagissent avec les collaborateurs de Forvis Mazars en France.
- Les DCP des clients du client de Forvis Mazars,
- Les DCP des collaborateurs des clients,
- Les DCP des fournisseurs des clients,
- Les DCP des actionnaires des clients,
et de toutes autres parties utilisées par les clients de Forvis Mazars qui font l’objet de traitements par nos soins en France.
Informations collectées relatives aux contacts chez clients Expertise comptable
Chez Forvis Mazars, nous centralisons le traitement des données personnelles concernant les contacts (clients anciens, actuels et potentiels, personnes employées par ou associées à de tels clients et autres contacts commerciaux, tels que des anciens collaborateurs, des consultants, des régulateurs et des journalistes).
Ces contacts sont traités conformément à la politique de confidentialité tel que décrite sur le site www.forvismazars.com/fr
Nous ne collectons pas intentionnellement de données sensibles, sauf si vous nous fournissez de telles données dans le cadre de votre participation à nos événements.
Exemple de données à caractère personnel transmises par le client Expertise comptable dans le cadre de la mission assignée à Forvis Mazars
- Nom, prénom
- Adresse postale
- Adresse mail
- Téléphone
- Lieu, date de naissance
- Nationalité
- Date de décès
- Numéro de sécurité sociale
- Numéro d’identité fiscale
- Relevé d’Identité Bancaire du Collaborateur
- Salaires mensuels, avantage en nature
- L’intitulé du poste, l’échelon ou la fonction, le rôle
- Le nom de l’entreprise ou de l’organisation
- Des données sur l’entreprise
- Des informations géographiques telles que le pays, le code postal
- Des informations pertinentes pour la prestation de nos services
- Et toutes autres informations dont nous arions besoin afin de mener à bien la mission que vous nous avez attribuée.
Nous ne collectons pas intentionnellement de données sensibles, sauf si vous nous les fournissez. Bien que vous puissiez saisir toute sorte d’informations dans les champs libres présents sur notre site, nous n’avons en aucun cas l’intention de traiter des informations sensibles. Vous n’êtes en aucun cas obligé de fournir, et ne devez pas divulguer, de données personnelles sensibles dans ces champs de texte. Si vous décidez de fournir des données personnelles sensibles de cette manière, vous consentez à la collecte et au traitement de celles-ci.
Les bases juridiques pour le traitement des données à caractère personnel sont l’exécution d’un contrat signé par le client de Forvis Mazars avec le cabinet.
4. Obligation de confidentialité
Forvis Mazars s’engage à garantir la confidentialité des Données à caractère personnel traitées en application des contrats conclus avec ses clients. Pour ce faire, Forvis Mazars préserve la confidentialité des Données à caractère personnel à tout moment à l’égard de son personnel, de ses collaborateurs et de toute personne susceptible d’y avoir accès.
Forvis Mazars s’engage à veiller à ce que le personnel autorisé à traiter les Données à caractère personnel :
- S’engage à en respecter la confidentialité et/ou soit soumis à une obligation légale ou contractuelle de confidentialité.
- Reçoive la formation nécessaire en matière de protection des Données à caractère personnel.
5. Sous-traitance de Forvis Mazars
Forvis Mazars peut faire appel à des sous-traitants (ci-après, les « Sous-Traitants Ultérieurs ») pour mener ses activités de traitement. Dans ce cas, Forvis Mazars informe par écrit les clients concernés.
Le Sous-Traitant est tenu de respecter les obligations prévues par le Règlement européen de la protection des données (UE) 2016/679 (RGPD). Forvis Mazars s’assure directement que le Sous-Traitant Ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que les Traitements répondent aux exigences du RGPD.
Liste des Sous-Traitants :
- SILAE Expert : Saas de gestion de paie.
- YOOZ : Outil automation cloud P2P
- CEGID : Outil de production comptable
- EXPENSYA : Outil de gestion de frais
- ONEUP : Outil de planning de ressources
- EIC : Cotisation sociale, impôt sur le revenu et déclaration fiscale personnelle
- Digiposte : coffre-fort électronique
- TDA : outil calcul engagements sociaux
- RCA : outils d’aide à la décision
- AGIRIS : production comptable agriculture
Pour plus de détails voir infra Annexe 1 – Détail sous-traitant.
Dans le cadre de certaines missions et en ayant préalablement informé le client, Forvis Mazars en France peut sous-traiter une partie des travaux, à sa filiale Forvis Mazars BPO établie en Tunisie.
6. Territorialité
Dans l’éventualité où Forvis Mazars procède à un transfert de Données à caractère personnel vers un pays situé hors de l’Union Européenne ou une organisation internationale, Forvis Mazars s’engage à en informer préalablement l’utilisateur, sauf motif légitime d’intérêt public exonérant Forvis Mazars de l’obligation de notification.
Dans le cas d’un tel transfert, Forvis Mazars s’engage à respecter les garanties appropriées prévues par le RGPD, par la mise en place de clauses contractuelles type ou par l’application de règles contraignantes (Binding Corporate Rules).
Lorsque des clauses contractuelles types ont été signées, vous disposez du droit d’en demander une copie. Pour toute question ou réclamation, vous pouvez la soumettre par écrit comme indiqué au paragraphe 10. Demande de droits – Vos droits.
En utilisant le site www.forvismazars.com/fr nous ne procédons à aucun transfert Hors-UE.
Dans le cas où vous seriez, ou si vous devenez ou êtes client d'une entreprise Forvis Mazars dans un autre pays du groupe alors les conditions de traitement des données différentes pourraient s’appliquer. Dans ce cas veuillez consulter la déclaration de confidentialité de ce pays.
7. Durée de conservation des données à caractère personnel
Dans le respect des obligations de confidentialité, notre politique est de conserver les données personnelles uniquement pendant le temps nécessaire aux fins décrites dans les Finalités de Traitement. Ces données sont conservées pour une durée conforme aux dispositions régissant les activités de Forvis Mazars en France.
Concernant les contacts du client, dans le cas où votre entreprise est cliente du groupe Forvis Mazars en France, les données à caractère personnel des contacts resteront « actifs » dans le traitement.
Concernant les DCP du personnel du client, Forvis Mazars conservera ces données pour une durée en adéquation avec la nature de sa mission.
A titre d’exemple, ce délai est de 5 ans après la fin du contrat pour l’activité de production de paies.
A titre d’exemple, les dossiers de travail d’expertise-comptable d’une année civile sont conservés pendant une durée de 10 ans.
Toutefois, dans le cas où vous souhaiteriez que nous supprimions vos données à caractère personnel, collectées, utilisées, vous pouvez nous adresser une demande de droit à travers le lien indiqué dans le point 9 de ce document.
8. Désignation d’un DPO
Forvis Mazars a désigné un DPO dûment déclaré à la CNIL. Le DPO est l’interlocuteur référent/privilégié pour toute question relative aux Données à caractère personnel et aux Traitements de Données à caractère personnel effectués par Forvis Mazars pour le compte de ses clients.
Pour toute information complémentaire, vous pouvez adresser votre demande / requête au Délégué à la Protection des données (DPO) de Forvis Mazars en France à dpo@mazars.fr ou à l’adresse suivante :
Data Protection Officer (DPO) de Forvis Mazars France
61 RUE HENRI REGNAULT - EXALTIS - 92400 COURBEVOIE - FRANCE
Le DPO de Forvis Mazars en France est un interlocuteur indépendant en charge de la gestion des risques au niveau du groupe Forvis Mazars. A cet effet, il ne dépend ni de l’informatique de Forvis Mazars en France, ni du comité de direction de Forvis Mazars en France. Le DPO est impliqué dès la conception des nouveaux projets informatiques jusqu’aux suivis des incidents éventuels. Le DPO présente régulièrement les travaux et les actions menés au comité de direction de Forvis Mazars en France.
9. Mesures de sécurité
Forvis Mazars s’appuie sur la combinaison plusieurs niveaux de sécurité logique, physique et humaine lesquels participent activement à la sécurité de son système d’information.
Sécurité logique
En termes de sécurité logique, les mesures appliquées sont, notamment :
- Paramétrage des ordinateurs, serveurs selon un protocole identique qui tient compte des dernières versions des éditeurs.
- Protection des serveurs et ordinateurs via un anti-virus, régulièrement mis à jour.
- Cryptage de tous les disques durs des ordinateurs portables des collaborateurs.
- Chiffrement des disques de tous les serveurs.
- Un système de double authentification
- Une protection logique des appareils mobiles dont notamment les téléphones portables, tablettes.
Sécurité physique des serveurs de Production « Métier »
En termes de sécurité physique, les mesures appliquées sont, notamment :
- Un accès restreint du personnel de l’informatique administrateur des serveurs ou ayant des opérations de maintenance à réaliser.
- Un accès limité aux salles serveurs : accès par badge, vidéo surveillance, suivi des entrées sorties.
- Gestion des privilèges : seuls les administrateurs peuvent configurer un ordinateur ou un serveur. Forvis Mazars met en place une ségrégation des rôles d’administrateurs.
- Des composants de sécurité périmétrique de type : firewalls, proxy, reverse proxy filtrent les accès aux ressources de Forvis Mazars.
Sécurité humaine de l’information lors des missions Expertise comptable
Depuis 2018, l’ensemble des collaborateurs Forvis Mazars en France a bénéficié de formations relatives au RGPD en présentiel ou en webinar. Ces formations sont construites sur mesure pour le collaborateur Forvis Mazars. Chaque année, des sessions de mise à jour des connaissances sont rendues obligatoires. Les nouveaux entrants bénéficient dans leur parcours d’intégration de séances obligatoires sur ce sujet.
Toutefois, internet peut ne pas procurer le degré de sécurité attendu. Bien que nous ayons mis en œuvre les moyens appropriés nous ne pouvons garantir la sécurité et intégrité lors de ce transfert. Une fois les données arrivées sur votre système d’information, il relève de votre responsabilité d’assurer cette sécurité.
10. Demande de droits - Vos droits
Sauf dans le cas où vous nous feriez une demande de droits, Forvis Mazars en France est le responsable de traitement de toutes les données à caractère personnel que vous nous transmettriez via nos sites internet. Si vous nous faites une demande relative à un site du groupe Forvis Mazars ou sur le site internet Forvis Mazars d’un pays spécifique alors, nous transmettrons pour vous cette demande.
En conséquence, vous pouvez exercer un certain nombre de droits sur vos données, notamment :
- Droit d’accès aux données à caractère personnel, pour accéder aux données personnelles que nous détenons à votre sujet
- Droit à la rectification de vos données personnelles, si celles-ci sont incomplètes, ou incorrectes, ou inexactes.
- Droit à tout moment à ne plus recevoir de communications marketing ;
- Droit à la limitation ou à l’opposition quant au traitement des données personnelles ;
- Droit à l’oubli, demande de suppression de vos données personnelles (sous certaines conditions et conformément à la législation en vigueur) ;
Nous nous occuperons de tout exercice de vos droits de personne concernée conformément aux exigences du RGPD et conformément à la Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et du règlement (UE) 2016/679 du 27 avril 2016.
Pour les contacts du client avec Forvis Mazars en France, nous vous permettons d’effectuer toutes vos demandes de droits directement en ligne :
https://www.mazars.fr/Protection-des-donnees/Demande-de-droits
Dans les autres cas ou si vous n’êtes pas satisfait, vous pouvez adresser votre demande
- Par mail au DPO dpo@mazars.fr
- Par courrier
Délégué à la protection des données de Forvis Mazars France
61 RUE HENRI REGNAULT - EXALTIS - 92400 COURBEVOIE - FRANCE
Aussi dans la mesure où vous ne seriez pas satisfait de la façon dont nous traiterions votre demande, vous avez le droit d'introduire une réclamation auprès de l’autorité de contrôle de la Commission nationale de l'informatique et des libertés conformément à l’article 15.1 du RGPD via le formulaire https://www.cnil.fr/fr/plaintes
11. Accès de mineurs à notre site internet
Notre portail n'est pas destiné à être utilisé par des mineurs de moins de seize (16) ans. Forvis Mazars ne collecte, ne divulgue ni ne vend sciemment les données personnelles des mineurs de moins de 16 ans : dpo@mazars.fr
12. Profilage et décision entièrement automatisée
Aucun profilage n’est prévu dans le cadre des travaux d’Expertise-Comptable.
13. Version
Tout changement dans cette politique RGPD qui concerne le site internet www.forvismazars.com/fr sera mis en ligne le plus rapidement possible par nos équipes afin de vous tenir informés.
Nous vous recommandons de vérifier régulièrement cette politique afin de rester informés des évolutions de notre registre de traitement.
Dernière mise à jour : 21 mai 2021
14. Glossaire
Les termes ci-après sont définis comme suit dans le respect de la réglementation RGPD.
- Données à caractère personnel : toute information se rapportant à une personne physique identifiée ou identifiable (par exemple : nom, prénom, adresse, date de naissance, etc.)
- DPO : Data Protection Officer, ou délégué à la protection des données à caractère personnel ;
- Personne Concernée : personne dont les données à caractère personnel sont traitées
- Responsable de Traitement : la personne physique ou morale qui détermine les finalités et les moyens d’un ou plusieurs traitements de données à caractère personnel, en l’espèce le Client ;
- RGPD : Règlement Général sur la Protection des Données n°2016/679 du 27 avril 2016 qui entre en application le 25 mai 2018 ;
- Sous-Traitant : la personne physique ou morale qui traite des données à caractère personnel pour le compte, sur instruction et sous l’autorité d’un responsable de traitement,
- Traitement : désigne toute opération ou ensemble d’opérations effectués à l’aide de procédés automatisés ou non et portant sur des données à caractère personnel, en l’espèce le ou les traitement(s) effectués par Forvis Mazars dans le cadre de sa mission décrite au Contrat ;
- Violation de Données à caractère personnel : toute violation de sécurité entraînant de manière accidentelle ou illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisés aux Données à caractère personnel traitées.
ANNEXE 1 – Détail sous-traitant
Les éléments ci-après précisent le respect de la réglementation RGPD par le sous-traitant.
- SILAE Expert : Saas de gestion de paie. Email contact DPO : dpo@silaexpert.fr (Politique de confidentialité)
- YOOZ : Outil automation cloud P2P (Yooz Inc. Privacy Policy)
- CEGID : Compagnie de gestion informatique (Privacy policy - CEGID)
- EXPENSYA : Outil de gestion de frais (Politique de confidentialité | Expensya)
- DATADOG : Gestion de cloud (Privacy Policy | Datadog)
- AWS S3: Hébergeur
- MAILCHIMP : Outil gestion mail et marketing ((RGPD) | Mailchimp)
- ONEUP: ERP (OneUp | Privacy Policy)