IT-CMS Quick Check
L'existence d'un système de gestion de la conformité informatique (IT-CMS) permet aux dirigeants et aux entreprises de prévenir le risque d'être tenus responsables des manquements en matière de conformité informatique.
Chaque PME a une obligation - jugement
Le directeur d'une entreprise familiale d'une soixantaine de personnes est personnellement condamné à payer 800.000 euros de dommages et intérêts pour avoir omis de mettre en place un système interne de gestion de la conformité (CMS), concrètement un double contrôle des processus critiques et des domaines susceptibles de causer des dommages. Et ce, bien qu' un collaborateur infidèle ait causé le dommage avec une énergie criminelle en manipulant le logiciel interne et le système de réservation.
Ce jugement a fait dresser l'oreille, d'autant plus qu'il est clair, au moins depuis cette décision du tribunal régional supérieur de Nuremberg fin 2022, que pratiquement toutes les entreprises doivent mettre en place un système de gestion de la conformité si elles veulent éviter d'engager la responsabilité de leur direction. Dans le jugement, cela se lit comme suit :
"De l'obligation de légalité découle l'obligation pour le gérant de mettre en place un système de gestion de la conformité, c'est-à-dire des dispositions organisationnelles qui empêchent la société ou ses employés de commettre des infractions à la loi".
L'arrêt se fonde sur le § 43 alinéa 2 GmbH (similaire : § 93 alinéa 2 AktG). En l'occurrence, la référence à la GmbH et à l'AG ne doit pas faire illusion : La réglementation s'applique par analogie à d'autres formes de sociétés.
La décision du tribunal régional supérieur de Nuremberg n'est pas totalement surprenante. Depuis un certain temps déjà, le § 130 OWiG prévoit une amende pouvant aller jusqu'à 1 million d'euros en cas d'omission de mesures de surveillance "nécessaires pour empêcher les infractions aux obligations dans l'entreprise ou l'établissement".
L'arrêt est basé sur l'article 43, paragraphe 2, de la GmbH (similaire : article 93, paragraphe 2, de l'AktG). La référence à la GmbH et à l'AG ne doit pas faire illusion : La réglementation s'applique par analogie à d'autres formes de sociétés.
La décision du tribunal régional supérieur de Nuremberg n'est pas totalement surprenante. Depuis un certain temps déjà, l 'article 130 de l'OWiG prévoit une amende pouvant aller jusqu'à 1 million d'euros en cas d'omission de mesures de surveillance "nécessaires pour empêcher les infractions aux obligations dans l'entreprise ou l'établissement ".
Déresponsabilisation grâce au système de gestion de la conformité
Ne serait-ce qu'en raison de la GoBD (principes de tenue et de conservation régulière des livres, enregistrements et documents sous forme électronique ainsi que d'accès aux données), qui s'applique pratiquement à toutes les entreprises, un système de contrôle interne (SCI) devrait être mis en place pour les systèmes informatiques. L'utilisation de systèmes comptables, par exemple de SAP ou de DATEV, est certes courante. Néanmoins, l'utilisation de ces systèmes doit être correctement mise en œuvre et contrôlée, et suffisamment documentée. Si de tels systèmes de contrôle interne sont mis en place, cela peut exclure une faute (et donc une obligation d'indemnisation) en cas de violation de la loi. Par exemple, il découle du point 2.6, phrase 6 du AEAO relatif au § 153 AO :
"Si le contribuable a mis en place un système de contrôle interne qui sert à remplir les obligations fiscales, cela peut éventuellement constituer un indice qui peut plaider contre l'existence d'une intention ou d'une légèreté, ..."
Selon la Cour fédérale de justice (BGH) (arrêt du 09.05.2017, Az. 1 StR 265/16), un système de gestion de la conformité en bonne et due forme peut également avoir pour effet de réduire la responsabilité lorsqu'une amende doit être fixée en raison d'infractions pourtant commises :
"La mesure dans laquelle [l'entreprise] a mis en place une gestion efficace de la conformité, conçue pour éviter les infractions, est également importante pour le calcul de l'amende ".
Ce qui est important lors de la mise en place d'un système de gestion de la conformité, c'est qu'il s'agisse d'un système sérieux qui soit réellement "vécu".
Renforcement croissant de la législation
L'exigence d'un système de gestion de la conformité découle d'un nombre croissant de dispositions légales :
Par exemple, l'article 38 du BSIG-E, prévu pour la mise en œuvre de la directive NIS2 actuelle, oblige explicitement certaines entreprises (appelées "entités importantes") à mettre en place, approuver et surveiller un système de gestion des risques dans le domaine de la cybersécurité. Il est expressément interdit de déléguer ces tâches de surveillance à la direction. Une formation régulière et personnelle de la direction est également prescrite. Toute renonciation à un recours contre les directeurs, par exemple dans le contrat de travail du directeur, est nulle et non avenue.
Les entreprises concernées par la mise en œuvre de cette directive NIS2 ou de la BSIG-E sont définies dans de nombreuses annexes. Actuellement, un constructeur de machines qui fabrique des fraises ou certaines autres machines-outils est par exemple concerné s'il emploie plus de 50 personnes ou si son chiffre d'affaires annuel et son bilan annuel sont supérieurs à 10 millions d'euros. Il en va de même pour les fabricants d'ampoules, de montres, de moteurs électriques, de câbles USB, de réfrigérateurs, de bicyclettes et bien d'autres encore. La recherche et les services purement numériques peuvent également être couverts, par exemple les fournisseurs de places de marché en ligne, c'est-à-dire les plateformes qui "mettent en relation" les fournisseurs et les demandeurs.
De même, l'article 5 du DORA (Digital Operational Resilience Act) pour les entreprises du secteur financier stipule que "l'organe de direction est responsable en dernier ressort de la gestion des risques liés aux TIC". TIC" signifie "technologies de l'information et de la communication".
La responsabilité personnelle peut également être engagée en cas de non-conformité des produits, par exemple s'ils sont mis sur le marché sans le marquage CE nécessaire. À cet égard, il convient d'attirer l'attention sur le Cyber Resilience Act (CRA) à venir, selon lequel presque tous les logiciels devront être munis d'un marquage CE à partir de 2027. Dans ce cas, il s'agit souvent d'infractions pénales qui, selon le droit pénal allemand, se rapportent toujours à des personnes physiques, c'est-à-dire à la direction ou à ceux qui agissent autrement, mais jamais à l'entreprise.
Exigences étendues dans la chaîne d'approvisionnement
Outre le renforcement dû à la loi et à la jurisprudence, il en résulte une obligation indirecte qui a des répercussions directes sur la prospection et les relations avec les clients. En effet, de plus en plus de clients exigeront de leurs fournisseurs qu'ils disposent d'un système de gestion de la conformité ou d'un système de gestion des risques suffisant, soit par souci de leur propre responsabilité, soit en raison des dispositions légales qui leur sont applicables. Il se peut que leurs clients leur aient imposé cette obligation pour l'ensemble de la chaîne d'approvisionnement.
Par exemple, une entreprise peut ne pas être directement concernée par la directive NIS2 ou la BSIG-E allemande. En tant que fournisseur automobile, le client de l'entreprise peut toutefois exiger le respect et la preuve de différentes exigences. Dans ce contexte, des normes plus strictes peuvent même être déterminantes. Dans l'exemple du secteur automobile, les règlements R155 et R156 de la CEE-ONU prescrivent la mise en place d'un "système de gestion de la cybersécurité" (CSMS) ou d'un "système de gestion des mises à jour logicielles" (SUMS), et il est important que les fournisseurs puissent également prouver la sécurité informatique. Pour les fournisseurs concernés, il peut être intéressant de pouvoir présenter un système de gestion de la cybersécurité distinct selon la norme ISO/SAE 21434 ainsi qu'un système de gestion des mises à jour logicielles selon la norme ISO 24089 - ou du moins certaines mesures de ces systèmes. Ceux qui souhaitent conserver leurs clients et en acquérir de nouveaux sont donc de plus en plus tenus de pouvoir présenter des mesures dans le domaine du système de gestion de la conformité et de la gestion des risques.
D'un autre côté, il peut être important, sous l'aspect de la déresponsabilisation déjà évoqué plus haut, que les entreprises veillent à disposer d'un système de conformité et de mesures de sécurité suffisants lors de la sélection de leurs propres fournisseurs et prestataires de services. Étant donné qu'un contrôle individuel de ces aménagements chez les sous-traitants est généralement éloigné de la pratique ou ne peut être effectué que chez des fournisseurs particulièrement critiques, une certification volontaire et le respect volontaire de normes prendront une importance croissante. Si, par exemple, sur deux fournisseurs entrant en ligne de compte, seul l'un d'entre eux peut présenter un système de gestion de la sécurité de l'information (ISMS) conforme à la norme ISO/IEC 27001, ce fournisseur devrait être privilégié. Il en sera de même si plusieurs fournisseurs de services informatiques en nuage sont disponibles et qu'un seul d'entre eux répond au catalogue de critères C5 du BSI (Cloud Computing Compliance Criteria Catalogue).
Dans certains domaines, il sera même obligatoire à l'avenir de n'utiliser que des produits ayant obtenu une certification dite de cybersécurité selon les schémas de l'UE.
Les cyber-assurances et les assurances D&O ne suffisent pas.
La conclusion d'une cyber-assurance et d'une assurance D&O est conseillée au profit de la direction et de l'entreprise. Il convient toutefois d'examiner très attentivement s'il s'agit effectivement d'une couverture suffisante. En règle générale, il n'y en a aucune en cas de comportement intentionnel. Cela peut toutefois être rapidement le cas si la direction n'a justement pas mis en place et contrôlé un système de gestion de la conformité ou un système de gestion des risques, malgré les dispositions légales désormais claires. De même, une assurance ne peut guère remédier à la réalisation d'infractions pénales.
Processus dommageables et multiplication des dommages
Outre la prévention de la responsabilité de la direction, un système de gestion de la conformité ou de gestion des risques devrait permettre d'identifier les processus susceptibles de causer des dommages, de sorte que ceux-ci puissent être contrôlés et surveillés en particulier pour les risques de dommages et que les dommages puissent être évités pour l'entreprise. Sans de telles mesures, de simples erreurs peuvent entraîner des dommages massifs.
Un exemple pratique : une entreprise a importé de Chine un certain type de fournitures de bureau et les a vendues en masse en Allemagne au prix de 1 euro l'unité. Deux ans plus tard, le propriétaire d'un design enregistré en Allemagne se manifeste et demande des dommages et intérêts ainsi que la destruction de tous les articles de bureau vendus entre-temps en millions d'exemplaires. Si l'on considère un seul article de bureau, le dommage est minime. Le problème provient de la "multiplication" des dommages causés par les articles vendus en masse. Un examen sommaire du registre des designs permettrait de constater rapidement l'existence d'un droit de design contraire.
Autre exemple: un fournisseur de logiciels comptant 10.000 clients permet, via son logiciel, de traiter les nouvelles factures électroniques qui seront émises à partir de 2025. Quelque temps plus tard, l'administration fiscale effectue des contrôles chez les premiers clients et les rejette parce que le fabricant de logiciels n'a pas respecté certaines exigences de la GoBD. Pour le fabricant de logiciels, une simple erreur se "multiplie" désormais considérablement, car chaque client concerné fera valoir un recours. Pour le fabricant de logiciels, il aurait en outre été judicieux de procéder à un contrôle selon l 'IDW PS 880. D'une part, l'erreur aurait probablement été détectée à temps. D'autre part, un tel certificat a pour effet d'inspirer confiance aux clients et aide à la publicité et à la commercialisation pour se démarquer des autres produits. Dans la mesure où des entreprises soumises à l'audit utilisent le logiciel, un tel certificat peut même être décisif dans le choix du fournisseur de logiciels.
IT-CMS Quick Check
Notre IT-CMS Quick Check permet de se faire une première idée de la situation dans l'entreprise. Cela permet aux entreprises et à la direction responsable personnellement de se faire une première idée du statu quo, c'est-à-dire des mesures de base à prendre et des déficits évidents - et donc du potentiel général de responsabilité. En règle générale, le IT-CMS Quick Check est associé à un atelier. Les domaines concernés par un tel IT-CMS Quick Check dépendent des conditions et des besoins concrets de l'entreprise et sont définis au préalable. Il peut s'agir, entre autres, des domaines suivants :
Protection des accès : des procédures suffisantes d'attribution des droits sont-elles appliquées pour les applications et les super-droits sont-ils strictement attribués ?
Gestion des modifications : les modifications apportées aux programmes sont-elles testées de manière compréhensible ou s'appuie-t-on ici sur la collaboration de prestataires de services sans satisfaire à l'obligation légale de preuve ?
Transformation numérique : Actuellement, de nombreuses applications financières centrales (ERP) sont confrontées au défi de changer de système (SAP, Navision, etc.), car les versions antérieures ne sont plus prises en charge par les fabricants de logiciels. L'introduction de la nouvelle solution ERP influence l'ensemble de l'épine dorsale de l'informatique financière, elle n'est pas le quotidien de la société, mais elle est essentielle pour que les processus commerciaux puissent être exploités sans erreur à l'avenir. Ces projets présentent un risque très élevé (de 70 % à presque 100 %), c'est pourquoi la question se pose de savoir si l'entreprise dispose de spécialistes expérimentés et indépendants en plus des prestataires de services.
Processus informatiques de base : Par exemple, le concept d'urgence, y compris la sauvegarde, ou les tâches système avec traitement de masse ne sont souvent pas examinés de près, mais ils sont par exemple décisifs au vu du degré de numérisation actuel. La robustesse de ces processus est-elle régulièrement vérifiée ?
Protection des données. Exemple : les voies de notification au sein de l'entreprise sont-elles organisées de manière à ce que les violations de données et autres événements à notifier soient signalés à l'autorité de contrôle compétente dans un délai de (dans le cas du RGPD) 72 heures au plus tard (une notification tardive est notamment passible d'une amende en vertu du RGPD) ?
Résilience : des accords de niveau de service (SLA) suffisants ont-ils été conclus avec les prestataires de services afin d'éviter des lacunes de disponibilité dans les propres offres - éventuellement critiques ? Les données peuvent-elles être confiées aux prestataires de services impliqués ou enfreignent-elles les accords de confidentialité, le devoir de discrétion ou la protection des données ?
Conformité de la licence. Exemple : la conformité : Un système de gestion des licences est-il établi de manière à ce que des tiers ne puissent pas faire valoir des droits d'injonction contre les propres produits en raison de lacunes non détectées dans les licences (également dans les chaînes de licences) ?
Préparation en cas de cybersécurité : existe-t-il par exemple une cyberassurance suffisante ou des mesures ont-elles été prises pour limiter l'ampleur des incidents qui pourraient se produire ?
Les exigences de base relatives à la conception de ses propres produits et services sont-elles respectées, afin d'éviter par exemple les interdictions administratives et une responsabilité vis-à-vis des clients de ce point de vue ?
Consultez également la publication : Hötzel / Völkl, Vermeidung von Haftungsfällen mittels IT-CMS, Zeitschrift für Bilanzierung, Rechnungswesen und Controlling (BC), 9/2024
Mise à jour : 17.07.2024