Assurer une utilisation éthique et responsable des nouvelles technologies : pratiques et procédures pour le commissaire aux comptes

À l’heure où l’intelligence artificielle, la robotisation des processus (RPA), la blockchain et les outils avancés de data analytics transforment le paysage de l’audit, le commissaire aux comptes (CAC) doit veiller à déployer ces technologies dans le respect de l’éthique, de la déontologie et de la réglementation. Loin de se cantonner à une posture réactive, il s’agit pour le CAC d’instaurer un socle de pratiques et de procédures formalisées garantissant transparence, fiabilité et responsabilité. Cet article propose un panorama des actions clés pour sécuriser l’usage des nouvelles technologies au service de la mission d’audit.

1. Mettre en place une gouvernance dédiée « Tech & Éthique »

• Création d’un comité de pilotage technologique

  • Composition pluridisciplinaire (experts en audit, data scientists, juristes, DPO).

  • Responsabilités : évaluer les projets, valider les outils, surveiller les indicateurs de performance et de conformité.

• Charte interne « Usage responsable des technologies »

  • Définition claire des enjeux éthiques : respect de la vie privée, non‑discrimination algorithmique, transparence vis‑à‑vis du client.

  • Processus d’homologation des solutions avant déploiement en mission.

2. Sélection rigoureuse et qualification des prestataires

• Appels d’offres et due diligence

  • Critères d’évaluation : certifications (ISO 27001, SOC 2), antécédents en cybersécurité, politique RGPD, revue des audits tiers.

• Clauses contractuelles protectrices

  • Engagements sur la confidentialité, la non‑réutilisation des données, la traçabilité des traitements et la responsabilité en cas de défaillance.

3. Évaluation des risques technologiques

• Cartographie des risques

  • Identifier les risques liés à chaque technologie : biais algorithmiques, fuites de données, indisponibilité de service.

• Analyses d’impact (PIA)

  • Mesurer les conséquences sur les droits et libertés des personnes (notamment RGPD) pour chaque projet impliquant un traitement automatisé.

• Plan de gestion des incidents

  • Procédures de remontée et de traitement rapide des anomalies, avec rôles et responsabilités clairement assignés.

4. Formalisation des procédures opérationnelles

• Manuels de paramétrage

  • Documentation pas-à‑pas pour la configuration des outils (choix des seuils de détection, paramètres d’entraînement, mise à jour des librairies).

• Scénarios de tests et de validation

  • Jeux de données historiques ou simulés pour valider en amont :

    • Taux de détection / taux de faux positifs.

    • Robustesse face aux cas extrêmes (fraude, erreurs massives).

• Checklist de revue humaine

  • Étapes obligatoires d’examen des résultats générés par la technologie avant toute exploitation ou communication.

5. Transparence et communication

• Lettre de mission augmentée

  • Annexes détaillant les technologies utilisées, leur périmètre, les responsabilités du CAC et celles du prestataire.

• Rapports intermédiaires

  • Reporting périodique au comité d’audit sur les indicateurs de performance, les incidents et les améliorations en cours.

• Formation et sensibilisation du client

  • Sessions explicatives sur les limites et garanties des outils (qui fait quoi, comment sont traitées les données, etc.).

6. Assurance qualité et amélioration continue

• Audits réguliers de conformité

  • Revues indépendantes (internes ou externes) pour vérifier le respect de la charte et des procédures.

• Veille réglementaire et technologique

  • Mise à jour des pratiques en fonction des évolutions normatives (e‑privacy, IA Act) et des avancées méthodologiques.

• Retours d’expérience et capitalisation

  • Capitaliser sur les retours de mission : points forts, incidents, bonnes pratiques, afin d’enrichir la base documentaire et de former les équipes.