RGPD & mots de passe : le guide de survie du cabinet comptable
Votre cabinet gère des centaines d'accès clients. La CNIL renforce ses exigences. Ce guide vous donne les clés pour être en conformité — sans y passer vos nuits.
1. L'état des lieux : un cabinet, 850 mots de passe
Prenons un cabinet de 10 collaborateurs gérant 200 dossiers clients. Pour chaque client, le cabinet accède régulièrement à plusieurs plateformes : impots.gouv.fr, net-entreprises.fr, URSSAF, portails bancaires, caisses de retraite, mutuelles…
En pratique, cela représente entre 4 et 6 couples identifiant/mot de passe par dossier. Soit, pour un cabinet de taille moyenne :
850+
identifiants gérés par un cabinet moyen
10
collaborateurs ayant potentiellement accès
0
outils dédiés dans la majorité des cas
La question n'est pas de savoir si votre cabinet gère des mots de passe. La question est : comment ?
Dans la majorité des cas, la réponse ressemble à ceci : un fichier Excel partagé sur le serveur, des post-it, des emails transférés entre collaborateurs, ou des fichiers texte sur le bureau. Ce sont des méthodes que la CNIL considère comme non conformes à l'obligation de sécurité du RGPD.
2. Ce que dit le RGPD (et la CNIL) sur les mots de passe
L'article 32 du RGPD : l'obligation de sécurité
L'article 32 du RGPD impose à tout responsable de traitement (et à ses sous-traitants) de mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque. Cette obligation couvre explicitement la gestion des accès et des identifiants.
En tant que cabinet d'expertise comptable, vous êtes doublement concerné : vous êtes responsable de traitement pour vos propres données, et sous-traitant au sens du RGPD pour les données de vos clients que vous manipulez.
La recommandation CNIL de juillet 2022 (Délibération n° 2022-100)
La CNIL a publié une recommandation spécifique sur les mots de passe qui constitue le référentiel en matière de conformité. Les points clés pour un cabinet :
Les 4 piliers de la recommandation CNIL
1. Gouvernance — Rédiger une politique de gestion des mots de passe formalisée et la faire valider par le responsable de traitement.
2. Robustesse — Imposer des mots de passe d'une entropie minimale (12 caractères avec majuscules, minuscules, chiffres et caractères spéciaux).
3. Stockage sécurisé — Ne jamais stocker de mots de passe en clair. Utiliser un chiffrement ou un hachage robuste (bcrypt, Argon2).
4. Sensibilisation — Former les collaborateurs et recommander l'usage d'un gestionnaire de mots de passe.
2024-2025 : le durcissement
En 2024, la CNIL a constaté que près de 80 % des violations de données de grande ampleur étaient liées à l'usurpation de comptes protégés par un simple mot de passe. Face à ce constat, elle impose désormais l'authentification multifacteur (MFA) pour les organisations gérant des bases de données sensibles ou volumineuses.
Pour un cabinet d'expertise comptable qui accède aux données fiscales et bancaires de centaines de clients, la marge de tolérance est mince.
3. Les 5 risques concrets pour votre cabinet
Risque n°1 — Sanction CNIL
La politique de mots de passe est systématiquement vérifiée lors d'un contrôle CNIL. En cinq ans, au moins 15 sanctions publiques ont porté sur des manquements à la robustesse ou à la gestion des mots de passe. L'amende peut atteindre 4 % du chiffre d'affaires annuel (article 83 du RGPD).
Risque n°2 — Fuite de données clients
Un fichier Excel non chiffré contenant des centaines d'accès impots.gouv, c'est une bombe à retardement. En cas de ransomware, de vol de portable ou d'erreur d'envoi par email, les données fiscales et bancaires de tous vos clients sont exposées.
Risque n°3 — Départ d'un collaborateur
Combien de temps vous faudrait-il pour identifier tous les accès auxquels un collaborateur qui quitte le cabinet avait accès ? Sans traçabilité, c'est impossible à garantir. Et l'ancien collaborateur conserve potentiellement ces accès en mémoire.
Risque n°4 — Responsabilité professionnelle
Si un accès client est compromis à cause d'une mauvaise gestion de votre part, votre responsabilité professionnelle est engagée. L'assurance RCP pourrait contester la prise en charge si aucune mesure de sécurité n'a été mise en place.
Risque n°5 — Perte de confiance client
Un client qui apprend que ses codes d'accès bancaires traînent dans un fichier partagé par 10 personnes ne restera pas longtemps dans votre portefeuille. La confiance est le premier actif d'un cabinet.
4. Les recommandations CNIL appliquées au cabinet
Voici comment traduire concrètement les exigences CNIL dans le quotidien d'un cabinet d'expertise comptable :
Accès aux plateformes clients
Chaque accès à une plateforme client (impots.gouv.fr, URSSAF, banque…) doit être tracé, chiffré et limité aux collaborateurs qui en ont besoin. Le principe du moindre privilège s'applique : un collaborateur ne doit voir que les accès des dossiers qu'il gère.
Collecte des identifiants
Quand un client vous transmet ses codes, la méthode compte autant que le résultat. La CNIL recommande que les mots de passe ne transitent jamais en clair par email. Privilégiez un canal chiffré de bout en bout avec un lien temporaire et sécurisé.
Stockage
La CNIL est catégorique : aucun mot de passe ne doit être stocké en clair. Un fichier Excel, même protégé par un mot de passe, n'offre pas un niveau de chiffrement acceptable. Les données doivent être chiffrées avec des algorithmes reconnus (AES-256 minimum).
Journalisation
Chaque accès et chaque modification doivent être tracés dans un journal d'audit : qui a accédé à quel mot de passe, quand, depuis quel poste. En cas de contrôle ou d'incident, c'est la preuve de votre conformité.
5. Les pratiques à éliminer immédiatement
Ce que la CNIL considère non conforme
- Fichier Excel "MDP_clients.xlsx" sur le serveur partagé
- Email : "Voici les codes impots.gouv de la SCI Martin"
- Post-it sous le clavier avec les accès admin
- SMS avec identifiant + mot de passe dans le même message
- Même mot de passe pour tous les accès impots.gouv
- Aucun changement d'accès après le départ d'un salarié
Ce qui est attendu
- Gestionnaire de mots de passe avec chiffrement de bout en bout
- Collecte via un lien sécurisé temporaire
- Accès limités par collaborateur (moindre privilège)
- Journal d'audit de tous les accès
- Révocation immédiate au départ d'un collaborateur
- Authentification forte pour le mot de passe maître
6. Construire sa politique de gestion des accès
La CNIL exige une politique formalisée de gestion des mots de passe, rédigée par le responsable de la sécurité informatique et validée par le responsable de traitement (le dirigeant du cabinet). Voici les éléments à inclure :
| Élément | Contenu attendu | Statut |
|---|---|---|
| Périmètre | Liste des plateformes et types d'accès gérés par le cabinet | Obligatoire |
| Règles de complexité | Entropie minimale, longueur, types de caractères | Obligatoire |
| Outil de stockage | Gestionnaire choisi, niveau de chiffrement, hébergement | Obligatoire |
| Gestion des droits | Qui accède à quoi, processus d'attribution et de révocation | Obligatoire |
| Procédure de collecte | Comment les identifiants sont transmis par les clients | Obligatoire |
| Journalisation | Quels événements sont tracés, durée de conservation | Recommandé |
| Formation | Fréquence et contenu des sensibilisations collaborateurs | Recommandé |
| Plan de réponse incident | Que faire en cas de compromission d'un accès | Recommandé |
Ce document doit être daté, signé par le dirigeant, et mis à jour annuellement. En cas de contrôle CNIL, c'est la première chose qui vous sera demandée.
7. Checklist de conformité
Utilisez cette checklist pour évaluer votre cabinet. Les items marqués en rouge sont considérés comme des exigences minimales par la CNIL.
Stockage & chiffrement
Gestion des accès collaborateurs
Collecte des identifiants clients
Gouvernance & documentation
8. La solution : un gestionnaire pensé pour les experts-comptables
Les gestionnaires de mots de passe grand public (1Password, Bitwarden, Dashlane) n'ont pas été conçus pour les cabinets comptables. Ils ne gèrent pas les notions de dossiers clients, de portefeuille collaborateur, ni de collecte sécurisée auprès des clients.
Un outil adapté à la profession doit répondre à des contraintes spécifiques :
| Fonctionnalité | Gestionnaire grand public | Gestionnaire métier EC |
|---|---|---|
| Organisation par dossier client | ||
| Import depuis Cegid, ACD, Sage… | ||
| Collecte sécurisée auprès du client | ||
| Gestion par portefeuille collaborateur | ||
| Remplissage auto impots.gouv, URSSAF… | Partiel | Natif |
| Journal d'audit RGPD | Basique | Complet |
| DPA fourni | Sur demande | Inclus |
| Hébergement France | Souvent US | France |
Sécurisez votre cabinet en 24 heures
PassCompta est le gestionnaire de mots de passe conçu spécifiquement pour les cabinets d'expertise comptable. Chiffrement de bout en bout, hébergement en France, import depuis vos outils de production.
15 minutes • Sans engagement • Essai gratuit 14 jours
