Politique de confidentialité activité d’Expertise Comptable en France

LegalsProtection des donnéesPolitiques de confidentialités de Mazars en France

Politique de confidentialité - Expertise Comptable

Mazars considère que la sécurité des données et la conformité à la protection des données constituent un sujet très important.
Ce document a pour objectif de décrire les grandes lignes de la politique de Mazars pour protéger les Données à Caractère Personnel (« DCP »), collectées lors de la préparation des travaux d’expertise comptable qui comprennent notamment l’assistance à l’établissement des comptes annuels, assistance à l’élaboration des déclarations fiscales, réalisation de missions accessoires telles que la gestion RH, établissement de la paie, secrétariat juridique pour les clients de Mazars en France.
Ce document précise la gestion des DCP pendant les missions d’expertise comptable dans le cadre de la mise en conformité avec le Règlement Européen sur la Protection des données (UE) 2016/679. (« RGPD »).

1. Dispositions générales

Dans le cadre des missions qui lui sont confiées, Mazars France traite les Données à caractère personnel conformément aux lois et règlements en vigueur relatifs à la protection des Données à caractère personnel, conformément La loi Informatique et Libertés du 17 juin 2019, loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

Les Données à caractère personnel demeurent la propriété du Client, ce dernier intervenant en tant que Responsable de Traitement. Ce dernier est seul responsable du respect de ses obligations en tant que Responsable de Traitement en vertu de la réglementation en vigueur à l’égard des Personnes Concernées et des autorités de contrôle (notamment la CNIL).

Le Client est responsable de l'exactitude et de l'intégrité des Données à caractère personnel.

Le Client s’engage à mettre à disposition de MAZARS toutes les informations nécessaires à la réalisation des opérations de Traitement par MAZARS.

MAZARS intervient en tant que sous-traitant du Client, au sens des dispositions des articles 4 et 28 du RGPD. A ce titre, MAZARS s’engage à traiter les Données à caractère personnel conformément aux instructions documentées fournies par le Client, dont ce dernier est seul responsable.

Le Client en tant que Responsable de Traitement est notamment responsable :

  • Du respect du principe de minimisation, selon lequel seules les Données à caractère personnel nécessaires à la finalité du Traitement doivent être traitées ;
  • De l’obligation d’information des Personnes Concernées, dont notamment le transfert à Mazars
  • Du recueil du consentement des Personnes Concernées,

Nous ne vendons ni ne louons les données personnelles que vous nous transmettez ou qui vous concernent à quelque fin que ce soit.

Pour toute question complémentaire concernant les données à caractère personnel, le délégué à la protection des données de Mazars France vous répondra à l’adresse mail dédiée dpo@mazars.fr 

2. Pourquoi Mazars traite vos données ?  

Mazars ne traite les données personnelles que pour des finalités déterminées, explicites et légitimes. Mazars ne traite pas ces données de manière incompatible avec ces finalités.

Nous sommes amenés à collecter des données à caractère personnel à des fins suivantes :

  • l’assistance à l’établissement des comptes annuels,
  • assistance à l’élaboration des déclarations fiscales professionnelles et personnelles,
  • réalisation de missions accessoires telles que la gestion RH,
  • établissement de la paie, préparer les bulletins de paies du personnel du client
  • secrétariat juridique
  • Communiquer avec le client : Répondre à des demandes d'information émises par le client, Gérer la communication opérationnelle (incident, évolutions fonctionnelles, sécurité, …), Gérer la communication commerciale
  • Assister le client : Assister pour la résolution d'incidents techniques ou des difficultés d'usage
  • Gérer l'accès du client : Authentifier les utilisateurs, provisionner les droits d'accès et surveiller les accès
  • Gérer l’accès du client : créer les comptes et les utilisateurs dans les logiciels tiers, initialiser les paramétrages par défaut dans les services tiers
  • Réaliser les contrôles des travaux du client,
  • Traiter les documents en provenance des fournisseurs du client
  • Tenir la comptabilité du client, réviser ou superviser les opérations comptables
  • Et tous les autres travaux participant à la tenue de la comptabilité, à la supervision de tels travaux, ou à la révision de ce type de travaux comptables.
  • Vérifier et documenter l’actionnariat du client
  • L’affiliation aux régimes de protection sociale
  • Et tous les autres travaux participant à la mission de tenue de la paie et du social.

3. Catégories des données à caractère personnel traitées

Dans le cadre des activités d’Expertise-Comptable, les équipes de Mazars en France sont amenées à traiter les catégories de DCP qui suivent :

  • Les contacts du client de Mazars qui interagissent avec les collaborateurs de Mazars en France.
  • Les DCP des clients du client de Mazars,
  • Les DCP des collaborateurs des clients,
  • Les DCP des fournisseurs des clients,
  • Les DCP des actionnaires des clients,

et de toutes autres parties utilisées par les clients de Mazars qui font l’objet de traitements par nos soins en France.

Informations collectées relatives aux contacts chez clients Expertise comptable

Chez Mazars, nous centralisons le traitement des données personnelles concernant les contacts (clients anciens, actuels et potentiels, personnes employées par ou associées à de tels clients et autres contacts commerciaux, tels que des anciens collaborateurs, des consultants, des régulateurs et des journalistes).

Ces contacts sont traités conformément à la politique de confidentialité tel que décrite sur le site www.mazars.fr  (Politique de confidentialité site internet - Mazars - France).

Nous ne collectons pas intentionnellement de données sensibles, sauf si vous nous fournissez de telles données dans le cadre de votre participation à nos événements.

Exemple de données à caractère personnel transmises par le client Expertise comptable dans le cadre de la mission assignée à Mazars

  • Nom, prénom
  • Adresse postale
  • Adresse mail
  • Téléphone
  • Lieu, date de naissance
  • Nationalité
  • Date de décès
  • Numéro de sécurité sociale
  • Numéro d’identité fiscale
  • Relevé d’Identité Bancaire du Collaborateur
  • Salaires mensuels, avantage en nature
  • L’intitulé du poste, l’échelon ou la fonction, le rôle
  • Le nom de l’entreprise ou de l’organisation
  • Des données sur l’entreprise
  • Des informations géographiques telles que le pays, le code postal
  • Des informations pertinentes pour la prestation de nos services
  • Et toutes autres informations dont nous arions besoin afin de mener à bien la mission que vous nous avez attribuée.

Nous ne collectons pas intentionnellement de données sensibles, sauf si vous nous les fournissez. Bien que vous puissiez saisir toute sorte d’informations dans les champs libres présents sur notre site, nous n’avons en aucun cas l’intention de traiter des informations sensibles. Vous n’êtes en aucun cas obligé de fournir, et ne devez pas divulguer, de données personnelles sensibles dans ces champs de texte. Si vous décidez de fournir des données personnelles sensibles de cette manière, vous consentez à la collecte et au traitement de celles-ci.

Les bases juridiques pour le traitement des données à caractère personnel sont l’exécution d’un contrat signé par le client de Mazars avec le cabinet.

 4. Obligation de confidentialité 

Mazars s’engage à garantir la confidentialité des Données à caractère personnel traitées en application des contrats conclus avec ses clients. Pour ce faire, Mazars préserve la confidentialité des Données à caractère personnel à tout moment à l’égard de son personnel, de ses collaborateurs et de toute personne susceptible d’y avoir accès.

Mazars s’engage à veiller à ce que le personnel autorisé à traiter les Données à caractère personnel :

  • S’engage à en respecter la confidentialité et/ou soit soumis à une obligation légale ou contractuelle de confidentialité.
  • Reçoive la formation nécessaire en matière de protection des Données à caractère personnel.

5. Sous-traitance de Mazars

Mazars peut faire appel à des sous-traitants (ci-après, les « Sous-Traitants Ultérieurs ») pour mener ses activités de traitement. Dans ce cas, Mazars informe par écrit les clients concernés.

Le Sous-Traitant est tenu de respecter les obligations prévues par le Règlement européen de la protection des données (UE) 2016/679 (RGPD). Mazars s’assure directement que le Sous-Traitant Ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que les Traitements répondent aux exigences du RGPD.

Liste des Sous-Traitants :

  • SILAE Expert : Saas de gestion de paie.
  • YOOZ : Outil automation cloud P2P
  • CEGID : Outil de production comptable
  • EXPENSYA : Outil de gestion de frais
  • ONEUP :  Outil de planning de ressources
  • EIC : Cotisation sociale, impôt sur le revenu et déclaration fiscale personnelle
  • Digiposte : coffre-fort électronique
  • TDA : outil calcul engagements sociaux
  • RCA : outils d’aide à la décision
  •  AGIRIS : production comptable agriculture

Pour plus de détails voir infra Annexe 1 – Détail sous-traitant.

Dans le cadre de certaines missions et en ayant préalablement informé le client, Mazars France peut sous-traiter une partie des travaux, à sa filiale Mazars BPO établie en Tunisie.

 6. Territorialité 

Dans l’éventualité où Mazars procède à un transfert de Données à caractère personnel vers un pays situé hors de l’Union Européenne ou une organisation internationale, Mazars s’engage à en informer préalablement l’utilisateur, sauf motif légitime d’intérêt public exonérant Mazars de l’obligation de notification.

Dans le cas d’un tel transfert, Mazars s’engage à respecter les garanties appropriées prévues par le RGPD, par la mise en place de clauses contractuelles type ou par l’application de règles contraignantes (Binding Corporate Rules).

Lorsque des clauses contractuelles types ont été signées, vous disposez du droit d’en demander une copie. Pour toute question ou réclamation, vous pouvez la soumettre par écrit comme indiqué au paragraphe 10. Demande de droits – Vos droits.

En utilisant le site www.mazars.fr nous ne procédons à aucun transfert Hors-UE.

Dans le cas où vous seriez, ou si vous devenez ou êtes client d'une entreprise Mazars dans un autre pays du groupe alors les conditions de traitement des données différentes pourraient s’appliquer. Dans ce cas veuillez consulter la déclaration de confidentialité de ce pays.

 7. Durée de conservation des données à caractère personnel

Dans le respect des obligations de confidentialité, notre politique est de conserver les données personnelles uniquement pendant le temps nécessaire aux fins décrites dans les Finalités de Traitement. Ces données sont conservées pour une durée conforme aux dispositions régissant les activités de Mazars en France.

Concernant les contacts du client, dans le cas où votre entreprise est cliente du groupe Mazars en France, les données à caractère personnel des contacts resteront « actifs » dans le traitement.

Concernant les DCP du personnel du client, Mazars conservera ces données pour une durée en adéquation avec la nature de sa mission.

A titre d’exemple, ce délai est de 5 ans après la fin du contrat pour l’activité de production de paies.

A titre d’exemple, les dossiers de travail d’expertise-comptable d’une année civile sont conservés pendant une durée de 10 ans.

Toutefois, dans le cas où vous souhaiteriez que nous supprimions vos données à caractère personnel, collectées, utilisées, vous pouvez nous adresser une demande de droit à travers le lien indiqué dans le point 9 de ce document.

8. Désignation d’un DPO

Mazars a désigné un DPO dûment déclaré à la CNIL. Le DPO est l’interlocuteur référent/privilégié pour toute question relative aux Données à caractère personnel et aux Traitements de Données à caractère personnel effectués par Mazars pour le compte de ses clients.

Pour toute information complémentaire, vous pouvez adresser votre demande / requête au Délégué à la Protection des données (DPO) de Mazars France à dpo@mazars.fr  ou à l’adresse suivante : 

Data Protection Officer (DPO) de Mazars France

61 RUE HENRI REGNAULT - EXALTIS - 92400 COURBEVOIE - FRANCE

Le DPO de Mazars France est un interlocuteur indépendant en charge de la gestion des risques au niveau du groupe Mazars. A cet effet, il ne dépend ni de l’informatique de Mazars France, ni du comité de direction de Mazars France. Le DPO est impliqué dès la conception des nouveaux projets informatiques jusqu’aux suivis des incidents éventuels. Le DPO présente régulièrement les travaux et les actions menés au comité de direction de Mazars France.

9. Mesures de sécurité

Mazars s’appuie sur la combinaison plusieurs niveaux de sécurité logique, physique et humaine lesquels participent activement à la sécurité de son système d’information.

Sécurité logique

En termes de sécurité logique, les mesures appliquées sont, notamment :

  • Paramétrage des ordinateurs, serveurs selon un protocole identique qui tient compte des dernières versions des éditeurs.
  • Protection des serveurs et ordinateurs via un anti-virus, régulièrement mis à jour.
  • Cryptage de tous les disques durs des ordinateurs portables des collaborateurs.
  • Chiffrement des disques de tous les serveurs.
  • Un système de double authentification
  • Une protection logique des appareils mobiles dont notamment les téléphones portables, tablettes.

Sécurité physique des serveurs de Production « Métier »

En termes de sécurité physique, les mesures appliquées sont, notamment :

  • Un accès restreint du personnel de l’informatique administrateur des serveurs ou ayant des opérations de maintenance à réaliser.
  • Un accès limité aux salles serveurs : accès par badge, vidéo surveillance, suivi des entrées sorties.
  • Gestion des privilèges : seuls les administrateurs peuvent configurer un ordinateur ou un serveur. Mazars met en place une ségrégation des rôles d’administrateurs.
  • Des composants de sécurité périmétrique de type : firewalls, proxy, reverse proxy filtrent les accès aux ressources de Mazars.

Sécurité humaine de l’information lors des missions Expertise comptable

Depuis 2018, l’ensemble des collaborateurs Mazars en France a bénéficié de formations relatives au RGPD en présentiel ou en webinar. Ces formations sont construites sur mesure pour le collaborateur Mazars. Chaque année, des sessions de mise à jour des connaissances sont rendues obligatoires. Les nouveaux entrants bénéficient dans leur parcours d’intégration de séances obligatoires sur ce sujet.

Toutefois, internet peut ne pas procurer le degré de sécurité attendu. Bien que nous ayons mis en œuvre les moyens appropriés nous ne pouvons garantir la sécurité et intégrité lors de ce transfert. Une fois les données arrivées sur votre système d’information, il relève de votre responsabilité d’assurer cette sécurité.

10. Demande de droits - Vos droits

Sauf dans le cas où vous nous feriez une demande de droits, Mazars France est le responsable de traitement de toutes les données à caractère personnel que vous nous transmettriez via nos sites internet. Si vous nous faites une demande relative à un site du groupe Mazars ou sur le site internet Mazars d’un pays spécifique alors, nous transmettrons pour vous cette demande.

En conséquence, vous pouvez exercer un certain nombre de droits sur vos données, notamment :

  • Droit d’accès aux données à caractère personnel, pour accéder aux données personnelles que nous détenons à votre sujet
  • Droit à la rectification de vos données personnelles, si celles-ci sont incomplètes, ou incorrectes, ou inexactes.
  • Droit à tout moment à ne plus recevoir de communications marketing ;
  • Droit à la limitation ou à l’opposition quant au traitement des données personnelles ;
  • Droit à l’oubli, demande de suppression de vos données personnelles (sous certaines conditions et conformément à la législation en vigueur) ;

Nous nous occuperons de tout exercice de vos droits de personne concernée conformément aux exigences du RGPD et conformément à la Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et du règlement (UE) 2016/679 du 27 avril 2016.

Pour les contacts du client avec Mazars France, nous vous permettons d’effectuer toutes vos demandes de droits directement en ligne :

https://www.mazars.fr/Protection-des-donnees/Demande-de-droits

Dans les autres cas ou si vous n’êtes pas satisfait, vous pouvez adresser votre demande

  • Par mail au DPO dpo@mazars.fr 
  • Par courrier
    Délégué à la protection des données de Mazars France
    61 RUE HENRI REGNAULT - EXALTIS - 92400 COURBEVOIE - FRANCE

Aussi dans la mesure où vous ne seriez pas satisfait de la façon dont nous traiterions votre demande, vous avez le droit d'introduire une réclamation auprès de l’autorité de contrôle de la Commission nationale de l'informatique et des libertés conformément à l’article 15.1 du RGPD via le formulaire https://www.cnil.fr/fr/plaintes

11. Accès de mineurs à notre site internet

Notre portail n'est pas destiné à être utilisé par des mineurs de moins de seize (16) ans. Mazars ne collecte, ne divulgue ni ne vend sciemment les données personnelles des mineurs de moins de 16 ans : dpo@mazars.fr 

12. Profilage et décision entièrement automatisée

Aucun profilage n’est prévu dans le cadre des travaux d’Expertise-Comptable.

13. Version

Tout changement dans cette politique RGPD qui concerne le site internet www.mazars.fr sera mis en ligne le plus rapidement possible par nos équipes afin de vous tenir informés.

Nous vous recommandons de vérifier régulièrement cette politique afin de rester informés des évolutions de notre registre de traitement.

Dernière mise à jour : 21 mai 2021

14. Glossaire

Les termes ci-après sont définis comme suit dans le respect de la réglementation RGPD.

  • Données à caractère personnel : toute information se rapportant à une personne physique identifiée ou identifiable (par exemple : nom, prénom, adresse, date de naissance, etc.)
  • DPO Data Protection Officer, ou délégué à la protection des données à caractère personnel ;
  • Personne Concernée : personne dont les données à caractère personnel sont traitées
  • Responsable de Traitement : la personne physique ou morale qui détermine les finalités et les moyens d’un ou plusieurs traitements de données à caractère personnel, en l’espèce le Client ;
  • RGPD : Règlement Général sur la Protection des Données n°2016/679 du 27 avril 2016 qui entre en application le 25 mai 2018 ;
  • Sous-Traitant : la personne physique ou morale qui traite des données à caractère personnel pour le compte, sur instruction et sous l’autorité d’un responsable de traitement,
  • Traitement : désigne toute opération ou ensemble d’opérations effectués à l’aide de procédés automatisés ou non et portant sur des données à caractère personnel, en l’espèce le ou les traitement(s) effectués par Mazars dans le cadre de sa mission décrite au Contrat ;
  • Violation de Données à caractère personnel : toute violation de sécurité entraînant de manière accidentelle ou illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisés aux Données à caractère personnel traitées.

 

ANNEXE 1 – Détail sous-traitant

Les éléments ci-après précisent le respect de la réglementation RGPD par le sous-traitant.

Contactez-nous

+33 1 49 97 60 00
Rencontrez nos équipes
Découvrez nos bureaux
Ecrivez-nous