RGPD – Bureau Comptable du Rognac

Déclaration de protection de la vie privée

1. Présentation générale

En notre qualité de cabinet d’Expert-Comptable et Fiscal, nous sommes amenés à traiter des données à caractère personnel vous concernant. Le présent document a pour but principal de vous informer de manière claire et concise sur la manière dont nous traitons vos données à caractère personnel.

Vous y trouverez également toutes les informations utiles afin de faire valoir vos droits relatifs à la protection de vos données personnelles.

2. Responsable du traitement des données à caractère personnel

Le responsable du traitement des données à caractère personnel est le Bureau Comptable du Rognac SRL.

Le siège du responsable est sis à Neupré, Avenue du Bois Impérial du Rognac n°73 et son numéro d’entreprise est 0698.684.268

Le responsable est inscrit auprès de l’ITAA, sous le numéro d’agrément 1090 3709.

Pour toute question relative à la protection des données à caractère personnel, veuillez-vous adresser au Bureau Comptable du Rognac srl, par courrier postal à l’adresse ci-dessus ou par e-mail à l’adresse info(at)bcrognac.be.

3. Sources des données à caractère personnel

Nous traitons les données à caractère personnel que vous nous fournissez directement.

Nous traitons également des données à caractère personnel qui n’ont pas été fournies par la personne concernée, telles que les données à caractère personnel transmises par un client et concernant ses administrateurs, ses fournisseurs, sa famille, ses salariés.

Les données à caractère personnel peuvent également provenir de registres/sources publiques telles que la Banque-Carrefour des entreprises, le Moniteur belge et ses annexes et la Banque nationale de Belgique (Centrale des bilans).

Dans le cadre de nos missions, le cabinet collecte aussi certaines données par l’intermédiaire d’autres sociétés ayant sollicité nos services dans le cadre d’une affaire qui vous concerne (par exemple en tant que tiers, cocontractant, associé, déclaration fiscale famille apparentée, etc.).

4. Finalités du traitement des données à caractère personnel

Pour chaque traitement, seules les données pertinentes à la poursuite de la finalité en cause sont traitées. Ces données ne sont transmises qu’aux sous-traitants, aux destinataires et/ou aux tiers pour autant que nécessaire dans le cadre des finalités précitées pour ledit traitement.

Le tableau ci-dessous liste l’ensemble des traitements réalisés par notre cabinet et précise leur finalité, les données traitées ainsi que leurs destinataires/sous-traitants.

Finalité	Catégories de données traitées	Destinataires/sous-traitants
Constitution de société	Données d’identification privées et de contact : Nom ; Prénom ; Âge ; Date de naissance ; Sexe ; Numéro de registre national ou d’affiliation à la sécurité sociale ; Copie de votre carte d’identité ; Adresse électronique ; Numéro de téléphone, de GSM ; Adresse du domicile ; Pays de résidence ; etc.Données d’identification bancaire : Numéro de compte en banque ; Compte bancaire à l’étranger ; IBAN ; BIC/SWIFT ; etc.Données relatives à l’éducation et au parcours professionnel : Diplômes et certificats ; Profession ; Déclaration sur l’honneur de non-faillite ; etc.Données sensibles : Certificat de bonne vie et mœurs ; Casier judiciaire.Toutes autres données à caractère personnel nécessaires à l’accomplissement de notre mission et que vous nous communiquerez volontairement.	Les institutions bancaires et études notariales désignées par le clientHannah – ID Soft BE0440.336.052 (Logiciel de gestion d’entreprise)eStox (Automatisation UBO)Banque-Carrefour des Entreprises
Tenue de la comptabilité	Données d’identification et de contact : Nom ; Prénom ; Âge ; Date de naissance ; Sexe ; Numéro de registre national ou d’affiliation à la sécurité sociale ; Copie de votre carte d’identité ; Adresse électronique ; Numéro de téléphone, de GSM ; Adresse du domicile ; Pays de résidence ; etc.Données d’identification professionnelles : Votre entreprise ; Titre/Fonction ; Département ; Adresse électronique professionnel ; etc.Données personnelles présentes sur vos factures d’entrées et de sorties ;Données d’identification bancaire : Numéro de compte en banque ; Compte bancaire à l’étranger ; IBAN ; BIC/SWIFT ; etc.Toutes autres données à caractère personnel nécessaires à l’accomplissement de notre mission et que vous nous communiquerez volontairement.	Codabox – Wolkers Kluwer Belgium BE0405.772.873 (Application de collecte de documents financiers)HORUS SOFTWARE sa BE0478.696.879 (Logiciel de comptabilité)Billtobox – Banqup Solutions BE0471.730.202 (Plateforme de facturation)Sage sa BE0419.618.535 (Logiciel de gestion d’entreprise)Fid Manager srl BE0657.777.982 (Logiciel de gestion administrative)
Bilan fiscal ; Comptes annuels ; Déclarations fiscales (IPP et ISOC, TVA, PrM)	Données d’identification privées : Nom ; Prénom ; Âge ; Date de naissance ; Sexe ; Numéro de registre national ou d’affiliation à la sécurité sociale ; Copie de votre carte d’identité ; Adresse électronique ; Numéro de téléphone / portable ; Adresse du domicile ; Pays de résidence ; etc.Données d’identification professionnelles : Votre entreprise ; Titre/Fonction ; Département ; Adresse électronique professionnel ; etc.Données d’identification bancaire : Numéro de compte en banque ; Compte bancaire à l’étranger ; IBAN ; BIC/SWIFT ; etc.Données relatives aux revenus, avoirs et dépenses : Données relatives au patrimoine mobilier et immobilier ; Revenus mobiliers ; Niveau d’endettement ; Données relatives aux sûretés (cautions, garanties, gages, etc.) ; Numéro d’assurance ; Rémunérations ; Pensions ; Fiches de salaire ; Avantages en nature qui n’apparaissent pas sur la fiche de salaire ; PrimesDans le cadre des déclarations à l’impôt des personnes physiques via Tax-on-web, les données suivantes sont également traitées : enfants, affiliation à un syndicat ou à une organisation politique, données médicales.	Twinntax srl BE0736.391.138 (Plateforme de gestion fiscale et comptable)Fid Manager srl BE0657.777.982 (Logiciel de gestion administrative)Banque nationale de BelgiqueAdministration fiscale
Missions de conseil, d’analyse et de fiscalité	Données d’identification et de contact : Nom ; Prénom ; Âge ; Date de naissance ; Sexe ; Numéro de registre national ou d’affiliation à la sécurité sociale ; Copie de votre carte d’identité ; Adresse électronique ; Numéro de téléphone, de GSM ; Adresse du domicile ; Pays de résidence ; etc.Données professionnelles : Votre entreprise ; Titre/Fonction ; Département ; etc.Toutes autres données à caractère personnel nécessaires à l’accomplissement de notre mission.	Fid Manager srl BE0657.777.982 (Logiciel de gestion administrative)ID Soft BE0440.336.052 (Logiciel de gestion d’entreprise)
Administration des salaires des clients	Données d’identification privées : Nom ; Prénom ; Âge ; Date de naissance ; Sexe ; Numéro de registre national ou d’affiliation à la sécurité sociale ; Copie de votre carte d’identité ; Adresse électronique ; Numéro de téléphone / portable ; Adresse du domicile ; Pays de résidence ; etc.Données d’identification professionnelles : Votre entreprise ; Titre/Fonction ; Département ; Adresse électronique professionnelle ; etc.Données d’identification bancaire : Numéro de compte en banque ; Compte bancaire à l’étranger ; IBAN ; RIB ; etc.Données financières : Salaire de base, taux d’imposition ; cotisations sociales; etc.Toutes autres données à caractère personnel nécessaires à l’accomplissement de notre mission.	Twinntax srl BE0736.391.138 (Plateforme de gestion fiscale et comptable)Monizze SA BE0834.013.324 (Application de distribution d’avantages extralégaux)PartenaAcertaAdministration fiscaleONSS
Prévention du blanchiment d’argent	Données d’identification privées : Nom ; Prénom, Date de naissance, Lieu de naissance ; Adresse postale.Données d’identification professionnelles : dénomination sociale de la personne morale, son siège social, la liste de ses administrateurs.Les pièces justificatives nécessaires en vue de documenter la compréhension des opérations effectuées.	Fid Manager srl BE0657.777.982 (Logiciel de gestion administrative) eStox (Automatisation UBO)CTIF (Cellule de Traitement des Informations Financières)Administration fiscale
Autres obligations légales	Les données à caractère personnel listées et définies dans la base légale applicable.	Fid Manager srl BE0657.777.982 (Logiciel de gestion administrative)
Envoi de lettres d’information (Newsletters)	Données d’identification privées : Nom ; Prénom ; Adresse électronique Données d’identification professionnelles : Titre/Fonction ; Département ; Adresse électronique professionnelle ; etc	Fid Manager srl BE0657.777.982 (Logiciel de gestion administrative)
Administration des salaires du personnel du comptable	Données d’identification privées : Nom ; Prénom ; Âge ; Date de naissance ; Sexe ; Numéro de registre national ou d’affiliation à la sécurité sociale ; Copie de votre carte d’identité ; Adresse électronique ; Numéro de téléphone / portable ; Adresse du domicile ; Pays de résidence ; etc.Données d’identification professionnelles : Titre/Fonction ; Département ; Adresse électronique professionnelle ; etc.Données d’identification bancaire : Numéro de compte en banque ; Compte bancaire à l’étranger ; IBAN ; RIB ; etc.Données financières : Salaire de base, taux d’imposition ; cotisations sociales; etc.	SDWORX asbl BE0407.139.583 (Secrétariat social)Monizze SA BE0834.013.324 (Application de distribution d’avantages extralégaux)Axa Belgium BE0404.483.367Cohezio asbl BE0410.623.764 (Prévention et protection au travail)
Recrutement de personnel du comptable	Données d’identification privées : Nom ; Prénom ; Âge ; Date de naissance ; Sexe ; Adresse électronique ; Numéro de téléphone / portable ; Adresse du domicile ; Pays de résidence ; etc.Informations relatives au parcours d’études et aux expériences ;CV éventuellement déposé sur la plateforme ;

5. Licéité des traitements de données à caractère personnel

5.1. Base légale du traitement – Exécution de la lettre de mission

Nos traitements ayant pour finalité(s) la constitution de société, la tenue de la comptabilité, la réalisation des bilans fiscaux et comptes annuels, les déclarations fiscales (IPP et ISOC, TVA, PrM) et les missions de conseil, d’analyse et de fiscalité sont nécessaires à l’exécution de notre lettre de mission. L’étendue des missions que vous nous confiez est définie dans notre lettre de mission.

Pour cette raison, la base de licéité de ce traitement de données est l’article 6.1, b) du RGPD : le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie. À défaut de communication et de traitement de ces données, nous ne sommes pas en mesure de mener à bien nos missions d’expert-comptable fiscaliste.

5.2. Base légale du traitement – Administration des salaires des clients

Dans la lettre de mission, vous pouvez nous confier l’administration des salaires de votre association. Dans ce cas, notre cabinet agit en tant que sous-traitant et non en tant que responsable du traitement. En effet, pour calculer et verser les salaires, notre cabinet applique des instructions précises du client (qui payer, combien, etc.) sans pouvoir utiliser les données pour une autre finalité.

Le client est responsable de l’exactitude et de la tenue à jour des données à caractère personnel qu’il fournit au cabinet

5.3. Base légale du traitement – Respect de nos obligations légales

5.3.1. Finalité spécifique – Prévention du blanchiment d’argent

La loi du 18 septembre 2017 relative à la prévention du blanchiment de capitaux et du financement du terrorisme et à la limitation de l’utilisation des espèces (ci-après, loi du 18 septembre 2017) nous impose de traiter les données à caractère personnel suivantes :

En application de l’article 26 de la loi du 18 septembre 2017, notre cabinet est tenu de collecter les données à caractère personnel suivantes concernant nos clients et leurs mandataires : nom, prénom, date de naissance, lieu de naissance et, dans la mesure du possible, adresse.

En application de l’article 26 de la loi du 18 septembre 2017, notre cabinet est tenu de collecter les données à caractère personnel suivantes concernant les bénéficiaires effectifs des clients : nom, prénom et, dans la mesure du possible, date de naissance, lieu de naissance et adresse.

En outre, cette législation nous impose de conserver les pièces justificatives permettant de justifier la provenance légitime des fonds.

Le traitement de ces données à caractère personnel est une obligation légale au sens de l’article 6.1, c) du RGPD. Sans ces données, nous ne pouvons pas conclure de relation d’affaires (article 33 de la loi du 18 septembre 2017).

5.3.2. Autres obligations légales

D’autres exigences légales spécifiques imposent des obligations incombant au cabinet vis-à-vis des autorités belges, des autorités étrangères ou des institutions internationales, y compris en matière de taxes et de comptabilité. Ces traitements de données à caractère personnel sont nécessaires en application d’une obligation légale ou réglementaire, en application d’une décision judiciaire ou dans le cadre de la défense d’un intérêt légitime, notamment, mais pas exclusivement, si les lois fiscales (listings TVA, fiches fiscales…) et sociales actuelles et futures nous contraignent à traiter des données à caractère personnel dans le cadre de la mission dont nous avons été chargés.

Le traitement de ces données à caractère personnel est une obligation légale au sens de l’article 6.1, c) du RGPD. À défaut de communication et de traitement de ces données, nous ne sommes pas en mesure de mener à bien notre mission d’expert-comptable fiscaliste.

5.4. Base légale du traitement – Envoi de lettres d’information (Newsletters)

Nous traitons certaines de vos données à caractère personnel pour l’envoi de notre lettre d’information traitant notamment des actualités de comptabilité, fiscalité et au droit de l’entreprise en général. Les données traitées pour l’envoi de notre lettre d’information sont les suivantes :

Nom de la société ;
Email ;
Titre, fonction ;
Prénom et Nom.

Hormis la communication de ces données à Fid Manager SRL tiers, le prestataire de services pour notre compte et sous notre contrôle aux fins précitées, nous ne transmettrons pas les données à caractère personnel collectées dans ce cadre, ni ne les vendrons, les louerons ou les échangerons avec une quelconque organisation ou entité, à moins que vous n’en ayez été informé(e) au préalable et que vous ayez explicitement donné votre consentement ou à moins que la loi ne l’exige, par exemple dans le cadre d’une procédure judiciaire.

Ce traitement de vos données à caractère personnel est soit fondé sur votre consentement (article 6.1, a) du RGPD) si vous n’êtes pas encore client chez nous ; soit il est fondé sur notre intérêt légitime (article 6.1, f) du RGPD) de vous tenir informé des évolutions dans les matières faisant l’objet de nos missions, si vous êtes déjà client chez nous.

Vous pouvez vous désabonner à tout moment des lettres d’information ou newsletters et autres communications du cabinet en envoyant un e-mail à l’adresse suivante : info[a]bcrognac.be

5.5. Base légale du traitement – Administration des salaires du personnel du cabinet

L’administration des salaires du personnel de notre cabinet repose sur deux fondements juridiques qui rendent le traitement pleinement licite :

L’exécution d’un contrat (Article 6.1, b) du RGPD) : Le traitement est strictement nécessaire à l’exécution du contrat de travail. Pour verser le salaire convenu à la date prévue, nous devons obligatoirement traiter des données (compte bancaire, temps de travail, fonction).

Le respect d’une obligation légale (Article 6.1, c) du RGPD) : En tant qu’employeur en Belgique, le bureau comptable est légalement tenu de déclarer les données salariales à des organismes officiels (déclarations DMFA à la Sécurité Sociale, retenues du précompte professionnel pour le SPF Finances, etc. ).

5.6. Base légale du traitement – Recrutement du personnel du cabinet

Afin de procéder au recrutement de personnel pour notre cabinet, le traitement des CV, lettres de motivation et notes d’entretien repose sur deux fondements juridiques :

L’exécution de mesures précontractuelles (Article 6, 1, b du RGPD) : C’est la base légale principale pour toute la phase de sélection active. Le traitement des données (parcours, diplômes, compétences) est nécessaire pour analyser la candidature et prendre des mesures à la demande du candidat avant la conclusion potentielle d’un contrat de travail.

L’intérêt légitime du cabinet (Article 6, 1, f du RGPD) : Cette base légale justifie les vérifications nécessaires pour s’assurer de l’adéquation et de l’honnêteté du candidat (par exemple, la vérification des diplômes ou des références d’anciens employeurs). Elle justifie aussi la conservation des dossiers pour se défendre en cas de litige (ex. accusation de discrimination).

6. Destinataires des données à caractère personnel

Nous partageons vos données à caractère personnel avec les destinataires suivants :

Nos employés et collaborateurs (par exemple l’informaticien) qui ont besoin d’avoir accès à vos données personnelles pour mener à bien nos missions ;
Les institutions bancaires et études notariales désignées par le client ;
Les autorités compétentes en matière fiscale, sociale et/ou administrative ;
Le cas échant, les personnes à qui vous nous demandez expressément de fournir vos données à caractère personnel ;
Nos sous-traitants (voir tableau – point 4) ;
Microsoft 365 (cloud).

Le cabinet peut transmettre les données à caractère personnel à la demande de toute autorité légalement compétente ou de sa propre initiative, s’il estime de bonne foi que la transmission de ces informations est nécessaire afin de respecter la loi ou la réglementation ou afin de défendre et/ou de protéger les droits ou les biens du cabinet, de ses clients, de son site internet et/ou de vous-même.

La communication de ces informations aux personnes précitées doit, en toutes circonstances, être limitée à ce qui est strictement nécessaire ou requis par la réglementation applicable.

7. Transferts de données à caractère personnel

En principe, aucune de vos données à caractère personnel ne fera l’objet d’un transfert vers un pays tiers (hors-EEE), sauf si l’objet de la lettre de mission l’exige, si la loi l’exige ou si vous consentez expressément à un tel transfert.

En cas de transfert vers un pays tiers, nous veillerons à vous informer personnellement des mesures de protection adéquates prises afin de protéger au mieux vos données personnelles.

En ce qui concerne le stockage de nos données chez Microsoft 365, l’engagement “EU Data Boundary” (Frontière des données de l’UE) implique que les données des clients européens (contenu des e-mails, documents SharePoint/OneDrive, etc.) sont stockées et traitées au sein de l’Union européenne.

8. Durée de conservation des données à caractère personnel

En vertu de la loi du 18 septembre 2017 (cf. point 5.3.1), les données d’identification et la copie des preuves concernant les clients, les mandataires internes et externes ainsi que les bénéficiaires effectifs des clients doivent être conservées par le cabinet. Conformément aux articles 60 et 62 de la loi du 18 septembre 2017, ces données à caractère personnel sont conservées au maximum dix ans après la fin de la relation professionnelle ou d’une opération occasionnelle avec le cliente.

Les autres données à caractère personnel ne sont conservées que pendant les durées prévues dans le tableau ci-dessous, sauf en ce qui concerne les données à caractère personnel que le cabinet est tenu de garder pendant plus longtemps sur la base d’une législation spécifique ou en cas de litige en cours pour lequel les données à caractère personnel sont nécessaires.

Une fois les durées de conservation expirées, les données à caractère personnel sont effacées, hormis si une autre législation en vigueur prévoit une durée de conservation plus longue.

Finalité	Durée de conservation
Envoi de lettres d’information (Newsletters)	Tant que l’utilisateur est abonné
Administration des salaires du personnel du cabinet	Dix ans après le départ du travailleur
Recrutement de personnel du cabinet	Deux mois après la clôture du poste

9. Droits des personnes concernées

9.1. Dispositions générales

Vous disposez de toute une série de droits en matière de protection de vos données à caractère personnel. En effet, vous avez, sous réserve de l’étendue des dispositions légales pertinentes, le droit :

D’obtenir une liste des données personnelles que nous détenons à votre sujet (droit d’accès).
De demander que nous mettions à jour les données personnelles que nous détenons à votre sujet ou que nous corrigions les données personnelles que vous jugez incorrectes ou incomplètes (droit de rectification).

Sous réserve des conditions contenue à l’article 17 du RGPD, de demander l’effacement, dans les meilleurs délais, de données à caractère personnel vous concernant (droit à l’oubli).

De demander, sous réserve du respect des dispositions légales auxquelles nous sommes soumis, que nous supprimions les données personnelles que nous détenons à votre sujet, ou que nous limitions la manière dont nous utilisons ces données personnelles (droit de limitation).

De retirer votre consentement au traitement de vos données personnelles, dans la mesure où ce traitement est fondé sur le consentement (droit de retirer son consentement).

De recevoir une copie des données personnelles vous concernant, que vous nous avez fournies, dans un format structuré, couramment utilisé et lisible par machine et de les transmettre à un tiers dans la mesure où le traitement est fondé sur votre consentement ou sur base d’un contrat (droit à la portabilité).

De vous opposer au traitement de vos données personnelles (droit d’opposition).

Si vous n’êtes pas satisfait de la manière dont nous traitons vos données personnelles, vous avez le droit de déposer une plainte auprès de l’autorité de protection des données via leur portail en ligne (droit de déposer une plainte auprès de l’autorité de contrôle compétente). A cet égard les informations pertinentes sont disponibles à l’adresse : https://www.autoriteprotectiondonnees.be/citoyen/agir/introduire-une-plainte

Pour l’application de vos droits, vous pouvez toujours adresser une demande au responsable du traitement par courrier ordinaire ou par e-mail à l’adresse info(at)bcrognac.be.

9.2. Disposition particulière

Nous traitons vos données à caractère personnel pour satisfaire aux obligations légales de vigilance, d’identification et de conservation imposées par la loi belge du 18 septembre 2017 relative à la prévention du blanchiment de capitaux et du financement du terrorisme (voir point 5.3.1).

Conformément à l’article 65 de ladite loi, votre droit d’accès, de rectification, d’effacement ou de limitation concernant ces données est susceptible d’être reporté, limité ou refusé. Cette restriction s’applique si l’exercice de ces droits est de nature à entraver des enquêtes, des analyses, des demandes de renseignements ou des opérations de déclaration ou par la Cellule de Traitement des Informations Financières (CTIF) dans le cadre de ses missions légales.

Dans ce cas, pour l’application de vos droits relatifs à vos données à caractère personnel, vous devez donc vous adresser à l’Autorité de protection des données (cf. point 9.1).

10. Mesures de sécurité

Les employés, associés ou collaborateurs du cabinet qui ont accès à vos données à caractère personnel sont soumis à une obligation stricte de confidentialité.

En outre, nous mettons en place toute une série de mesures techniques et organisationnelles nécessaires à la protection de vos données personnelles afin de limiter les risques de destruction, de perte, de modification, d’accès ou de traitement non autorisé, y compris des mesures physiques, électroniques et de gestion pour assurer la sécurité, l’exactitude et la mise à jour de vos données personnelles.

Ces mesures s’appliquent également à tous les sous-traitants auxquels le cabinet fait appel.

Ces mesures de sécurité consistent en :

Catégories	Description
Mesures organisationnelles	Sensibilisation / formation des employés : Informer et sensibiliser les employés manipulant des données personnelles ; organisation de formation des employés.Politique de gestion des données : Politique interne de gestion des données personnelles.DPO externe chargé de monitorer et de piloter la mise en conformité.
Contrôles d’accès logiques	Gestion des accès / habilitations aux serveurs et logiciels : Définir les accès aux logiciels (« need to know ») ; Suppression des accès obsolètes ; Révision annuelle des autorisations d’accès/habilitations.Sécurisation de l’informatique mobile : Prévoir des moyens de chiffrement des équipements mobiles ; Faire des sauvegardes ou synchronisation régulières des données ; Exiger un code secret pour le déverrouillage des smartphones professionnels.Sécurisation des postes de travail : Prévoir une procédure de verrouillage automatique de session en cas d’inactivité ; Utiliser des antivirus régulièrement mis à jour.Installer des « pares-feu » (firewall).Sécuriser les accès distants des appareils informatiques nomades par VPN.
Sauvegarder et prévoir la continuité d’activité	Effectuer des sauvegardes régulières ;Stocker les supports de sauvegarde dans un endroit sécurisé.