Audit externe : comment limiter la captation de données sensibles ?

Les entreprises sont parfois soumises à des audits externes conduits par des cabinets de conseil, des fonds d'investissement ou encore des centres d'évaluation. Ces opérations peuvent être réalisées à la demande de la société ou imposées par un tiers dans un contexte de croissance, de vente, de fusion, de cession d'activité, etc.

Problème : cela peut favoriser la captation des données de l'entreprise mais également de celles de ses clients, sous-traitants et partenaires commerciaux. Un enjeu d'autant plus important dans l'Hexagone. "Jusqu'à peu, le secret des affaires était sous-estimé en France, contrairement aux pays anglo-saxons. Cette notion est toutefois mieux prise en compte au sein des entreprises depuis 2018, grâce à la transposition en droit français d'une directive européenne sur le secret des affaires d'avril 2016", constate François-Pierre Lani, avocat associé au sein du cabinet Derriennic Associés.

Cette problématique de confidentialité est prise très au sérieux par la Direction générale de la sécurité intérieure (DGSI), qui a publié une note d'alerte fin novembre pour informer les entreprises des risques liés aux audits externes intrusifs. L'occasion également de fournir un certain nombre de bonnes pratiques.

Être vigilant sur le choix du prestataire

A commencer par le choix du prestataire, qui n'est pas à prendre à la légère. Selon la DGSI, il est essentiel d'effectuer des vérifications préalables telles que la nationalité de l'entreprise, les profils des cadres du cabinet, les clients précédents, les litiges potentiels, etc. Un avis partagé par François-Pierre Lani : "Le choix du partenaire est essentiel. Il doit pouvoir démontrer la prise en compte de la confidentialité dans ses process internes". Selon l'avocat, il ne faut pas hésiter à lui demander s'il a mis en place, en interne, des process permettant de protéger le secret des affaires. Il convient aussi de vérifier que les consultants qui mèneront l'audit sont bien sensibilisés sur cette problématique et qu'ils ont signé une clause de confidentialité dans leurs contrats de travail. "Enfin, se tourner vers des cabinets d'audit soumis à des règles déontologiques soumettant les consultants, membres d'un ordre professionnel, à une stricte confidentialité est une garantie supplémentaire quant au respect de la confidentialité", ajoute François-Pierre Lani.

Renforcer les clauses contractuelles

La rédaction du contrat est également une étape essentielle, qui permet de limiter les risques d'ingérence économique. "Il faut mettre en place une clause de confidentialité et prévoir des sanctions pécuniaires en cas de non-respect", indique François-Pierre Lani. Pour l'avocat, il peut également être utile, dans certains cas, de faire signer un accord de confidentialité à titre personnel au consultant en charge de l'audit. "Cela est notamment possible dans le cas d'associés ou de professions libérales et engage personnellement la personne en charge de la mission. Elle sera donc plus encline à respecter le secret des affaires", analyse-t-il. De son côté, la DGSI rappelle qu'il est possible d'intégrer différentes clauses contractuelles afin que l'entreprise dispose d'un levier en cas de pratique inappropriée du cabinet d'audit (clause pour la conservation des données sur le territoire national, clause permettant le changement d'auditeur en cas de suspicion de compromission, clause éthique, etc.).

Identifier et protéger les données sensibles

En amont de l'audit externe, il convient d'identifier les données sensibles de l'entreprise. Cela passe notamment par une cartographie des documents selon leur niveau de confidentialité. "Il s'agit de les répertorier, de les classer et de les stocker en fonction de leur niveau de sensibilité afin de limiter leur accès", précise la DGSI. Certains outils numériques peuvent également permettre de visualiser des documents sans les copier ou les transférer. "Ils sont souvent utilisés lors d'opérations d'audit de due diligence. Lorsqu'ils sont employés dans les relations avec les cabinets d'audit, cela permet de limiter le risque de divulgation de données sensibles", explique François-Pierre Lani.