Chapitre 2 Loi sur la sécurité financière

Depuis ces dernières années, le système d'information des entreprises fait fréquemment l'objet de loi et de réglementations.

Au-delà des simples normes et standards de type ISO qui ont marqué le développement des nouvelles architectures, le législateur s'est intéressé à la relation entre l'utilisation de l'informatique par les organisations et son impact sur les processus opérationnels.

Les lois et réglementations qui garantissent la protection des données privées des clients et des prospects ont eu le plus large écho ces dernières années. Le développement de la messagerie et l'application des méthodes de Marketing Direct ont relancé le débat à tous les niveaux.

Cependant, il existe plusieurs autres cas de lois définies par le législateur qui s'appliquent au système d'information.

Section 1 : Présentation de la loi sur la sécurité financière 

La loi sur la Sécurité financière a été promulguée le 1^er août 2003 en France. L'objectif étant de redonner confiance au marché financier français concernant la performance économique de l'entreprise suite aux fraudes comptables, aux erreurs majeures de gestion et aux non-respectt des lois. Elle s'applique à toutes les sociétés anonymes⁶. Elle comporte de nouvelles dispositions relatives à la gouvernance d'entreprise et au contrôle interne. Le président de la société anonyme est responsable de ces nouvelles dispositions.

La LSF repose sur 3 principes fondamentaux :

- Transparence des comptes et gouvernance de l'entreprise

- Renforcement du contrôle interne

- Garantir une sécurité pour les épargnants (associés)

^6 . SAS, Sociétés Anonymes à Conseil d'Administration ou à Conseil de Surveillance cotéeou non cotées en Bourse

1. Procédure administrative

Il revient au président du conseil d'administration d'établir les procédures du contrôle interne qui doivent être mise en place dans la société. La LSF ne fixe en aucun cas les modalités concernant ces procédures, le président est libre quant aux choix de ces procédures. La fiabilité du processus de consolidation des données comptables et financières est au coeur de ces nouvelles dispositions.

En effet, le président du conseil d'administration est le garant du bon déroulement et de l'efficience des procédures de collecte, d'analyse des informations financières à travers le contrôle interne. Cette efficacité nécessite une bonne maîtrise des processus d'informations. Ainsi le Président doit spécifier dans le rapport du contrôle interne toutes modifications concernant ces procédures.

Ce rapport qui est rédigé par le président du conseil d'administration (C.Com 225-37) ou le président du conseil de surveillance (C.Com art. L.225-68), Il peut également être rédigé par le commissaire aux comptes (C.Com. art. L.225-235 al.5. Ce rapport établi par ce dernier est différent de celui du président du conseil d'administration, car il est relatif à l'élaboration et au traitement de l'information comptable et financière.

Annexe 2

Le rapport sur le contrôle interne joint les autres rapports annuels obligatoires élaborés par l'entreprise. Ces différents rapports sont communiqués lors de l'assemblée des actionnaires de l'entreprise dans le cadre de l'approbation des comptes annuels.

Le résident du conseil d'administration a des obligations en vers ces actionnaires, et plus précisément, l'obligation de les informer sur l'activité réelle, la situation financière, les procédures de contrôle interne...

2.Les obligations de la LSF

La loi de sécurité financière (LSF) a renforcé les garanties d'indépendance individuelle des commissaires aux comptes en précisant les incompatibilités objectives et subjectives qui leurs concernent et en prévoyant une rotation des commissaires aux comptes signataires au minimum tous les six ans.

La loi a également eu pour objet de prévenir les conflits d'intérêt en interdisant au commissaire aux comptes de transmettre à la personne qui l'a chargé, des informations concernant la certification de ses comptes, ou aux personnes qui contrôlent une entreprise, tout conseil ou toute autre prestation de services n'entrant pas dans les diligences directement liées à la mission de commissaire aux comptes. Cette interdiction est étendue au réseau national ou international du commissaire aux comptes, c'est-à-dire qu'une société de commissaires aux comptes appartenant à un réseau ne peut certifier les comptes d'une entreprise lorsque celle-ci reçoit des prestations de services d'un membre de ce réseau.

En revanche, un commissaire aux comptes pourra certifier les comptes d'une personne contrôlant le bénéficiaire d'une prestation de services fournie par le réseau dont il est membre.

La LSF a imposé le rapport sur le contrôle interne, ce dernier atteste aux actionnaires et aux investisseurs que l'entreprise se donne les moyens de garantir une communication financière transparente et fiable.

La mise en place de la fonction de gestion du risque constitue une véritable opportunité pour l'entreprise d'engager une réflexion autour de l'optimisation de ses processus et de son contrôle interne. Ce discernement doit porter sur l'ensemble des métiers de l'entreprise ainsi que sur l'efficacité du système d'information.

La loi de sécurité financière impose aussi aux sociétés de veiller à ce que les membres de son conseil d'administration ou de son conseil de surveillance, répondent à certains critères d'indépendance. Ce même conseil d'administration devra, dans le rapport, rendre compte de son travail concernant l'amélioration du contrôle interne.

La LSF exige aussi que si une défaillance significative du contrôle interne puisse avoir des effets sur les résultats financiers, elle doit être communiquée aux actionnaires et parmi les conséquences possibles d'une telle défaillance, l'accès non autorisé à des processus informatiques critiques et la modification d'informations comptables informatisées qui sont particulièrement sensibles.

Ainsi, la LSF a encadré beaucoup plus strictement qu'auparavant l'exercice de la profession de commissaire aux comptes. Mais cette loi est moins perçue par la profession comme une opportunité, dans la mesure où, en renforçant la crédibilité des auditeurs, elle permet d'accroître leurs responsabilités

L'article 120 de la loi de sécurité financière (article L. 225-235 du code de commerce) prescrits que les commissaires aux comptes présentent dans un rapport joint à leur rapport sur les comptes, où ils doivent noter leur observation sur le rapport du président du conseil d'administration ou de surveillance sur le contrôle interne.

Il s'agit là d'une mission véritablement nouvelle, qui a conduit certains cabinets d'audit à revoir leur organisation interne, afin de mettre en place des structures dédiées au contrôle des risques. Néanmoins tous les cabinets, notamment ceux de taille moyenne, n'ont pas effectué cet investissement.

Ainsi notamment, avant l'adoption de la LSF, les commissaires aux comptes devait être convoqués aux seules réunions du conseil d'administration ou du directoire arrêtant les comptes annuels. Depuis la loi, l'article L. 225-238 du code de commerce prévoit que les commissaires aux comptes sont convoqués à toutes les réunions du conseil d'administration ou celles du directoire et du conseil de surveillance qui analysent ou arrêtent des comptes annuels ou intermédiaires, ainsi qu'à toutes les assemblées d'actionnaires.

Aussi, la LSF a porté le seuil de soumission à autorisation des conventions passées avec un actionnaire à 10 % de détention des droits de vote par celui-ci (article 123 de la LSF modifiant l'article L. 225-38 du code de commerce. En revanche, et s'agissant les conventions courantes, des difficultés constatées dans la pratique ont conduit à un assouplissement du dispositif  (article 123 de la LSF modifiant l'article L. 225-39 du code de commerce) désormais « les conventions courantes conclues à des conditions normales qui, en raison de leur objet ou de leurs implications financières, ne sont significatives pour aucune des parties, et échappent à l'obligation de communication. »

Au bout du compte, la loi doit avoir un caractère pédagogique, favorisant à ce que les entreprises - petites ou grandes - s'accordent progressivement des moyens pour dresser une typologie de leurs risques. Elle doit les encourager à se doter progressivement des moyens de porter une appréciation sur la pertinence de leurs contrôles internes.

3. Les critiques de la LSF

Malgré l'assouplissement apporté par la LSF, le processus de communication des conventions courantes demeure critiqué en raison de son imprécision et de sa lourdeur.

Le dispositif finalement retenu par la LSF, c'est-à-dire l'obligation de communiquer les conventions courantes significatives pour l'une ou l'autre partie, demeure accablant, car les conventions concernées ne doivent être significatives pour aucune des deux parties. De plus, la formulation reste trop confuse, bien qu'elle ait été améliorée par rapport au projet de loi initialement présenté par le gouvernement.

Cette imprécision relativise la portée de l'assouplissement introduite par la LSF par rapport à la loi NRE. Elle conduit à démontrer que la frontière entre les conventions réglementées et les conventions courantes n'est pas toujours évidente.

D'après les informations recueillies auprès des praticiens, ce sont des milliers de conventions intra groupes (conventions d'achat, de vente, de sous-traitance, de location de matériels, de prestations de services financiers, juridiques...) qui doivent être communiquées. Les présidents, les membres du conseil et les commissaires aux comptes se trouveraient donc submergés par un nombre considérable d'informations banales sur lesquelles ils ne peuvent pas exercer de contrôles effectifs.