Article guide – Check‑list RGPD & sécurité : les 25 points clés pour votre cabinet

Le Règlement général sur la protection des données (RGPD) n’est pas qu’une obligation administrative : il constitue le socle de confiance entre votre cabinet d’expertise comptable et vos clients. En cas de manquement, les sanctions peuvent atteindre 4 % du chiffre d’affaires – sans compter l’impact réputationnel. Pour vous aider à évaluer votre conformité et votre posture de sécurité, voici une check‑list opérationnelle en 25 points, classée en cinq volets. Passez‑la en revue, cochez chaque action réalisée et priorisez celles qui restent à accomplir.

Volet 1 – Gouvernance & documentation (5 points)

1. Registre des traitements : tenu à jour et revu au moins une fois par an.
2. Politique de protection des données : documentée, diffusée à l’ensemble du personnel.
3. Nomination d’un DPO ou référent RGPD : rôle, responsabilités et coordonnées communiqués à la CNIL.
4. Analyse d’impact (PIA) effectuée pour tout traitement à risque (paie, données sensibles).
5. Procédure de gestion des demandes d’accès (droit d’information, de rectification, d’effacement) avec délai < 30 jours.

Volet 2 – Mesures techniques (6 points)

1. Chiffrement des données au repos (serveurs, NAS, cloud) et en transit (TLS 1.2+).
2. Authentification multifacteur (MFA) activée sur tous les services critiques (logiciels comptables, portail DGFiP, sauvegarde).
3. Segmentation réseau : VLAN distinct pour sauvegardes, invités, production.
4. Gestion de correctifs : déploiement des mises à jour critiques < 10 jours.
5. EDR/SIEM supervisé 24/7 : détection et réponse aux incidents documentées.
6. Contrôle des ports amovibles & impression via solution DLP ou politique GPO.

Volet 3 – Sauvegarde & continuité (5 points)

1. Sauvegarde 3‑2‑1 : trois copies, deux supports distincts, une hors ligne.
2. Chiffrement des sauvegardes avec clé gérée par le cabinet (pas par le fournisseur).
3. Test de restauration trimestriel : restauration complète validée et chronométrée (objectif RTO).
4. Plan de Reprise d’Activité (PRA) documenté, incluant rôles et seuils de déclenchement.
5. Documentation des fournisseurs critiques (hébergeurs, SaaS) avec clauses RTO/RPO précises.

Volet 4 – Gestion des accès & sensibilisation (5 points)

1. Revue des droits d’accès au moins semestrielle : principe du moindre privilège.
2. Charte informatique signée par 100 % des collaborateurs.
3. Programme de formation continue : micro‑learning mensuel + phishing simulé trimestriel.
4. Processus d’onboarding/off‑boarding : création/suppression comptes < 24 h, restitution matériel.
5. Journalisation des accès : logs conservés ≥ 6 mois, horodatage NTP synchronisé.

Volet 5 – Fournisseurs & conformité contractuelle (4 points)

1. Contrats de sous‑traitance revus : clauses de sécurité, localisation des données, notification incident < 24 h.
2. Cartographie des flux transfrontaliers : conformité aux clauses contractuelles types (SCC) si données hors UE.
3. Vérification annuelle des attestations : ISO 27001, ISAE 3402, rapport de pentest.
4. Processus de sélection fournisseur : grille d’évaluation sécurité + scoring (documentation, audits, SLA).

Comment utiliser cette check‑list ?

• Scorez chaque point : ✔️ Réalisé / ⚠️ En cours / ❌ Non réalisé.
• Priorisez les ❌ selon l’impact (haut, moyen, faible) et le niveau d’effort.
• Formalisez un plan 90 jours pour les actions haut + impact/effort modéré.
• Répétez l’évaluation tous les 6 mois pour suivre les progrès.

Atteindre une conformité RGPD solide et une cybersécurité robuste n’est pas une fin en soi : c’est un processus continu. Cette check‑list vous offre un cadre pour structurer vos efforts et démontrer votre diligence auprès de vos clients, assureurs et autorités.