LA SECURITE FINANCIERE : OBLIGATIONS ET REORGANISATION POUR LES ENTREPRISES FRANÇAISES Les scandales financiers du début des années 2000 en Europe et aux États-Unis ont conduit les pouvoirs publics à renforcer la qualité de la communication financière afin de rétablir la confiance du public et, en particulier, des épargnants et investisseurs. Ce vaste mouvement s’est traduit, tant à l’échelon européen que national, par l’adoption d’un ensemble de textes dont l’objectif commun est l’amélioration de la sécurité financière et de ce qu’il est devenu courant de dénommer la « gouvernance » d’entreprise.
Les sociétés françaises sont tenues de renforcer le contrôle de la fiabilité de leurs informations financières La loi française sur la Sécurité financière du 1er août 2003, tout d’abord, organise un contrôle légal des comptes qui s’impose désormais aux sociétés faisant appel public à l’épargne et aux sociétés anonymes. Aux termes des articles L. 225-37 et L. 225-68 du Code de commerce issus de cette loi, le président du conseil d’administration ou du conseil de surveillance doivent désormais rendre compte, dans un rapport distinct du rapport annuel de gestion, « des conditions de préparation et d’organisation des travaux du conseil ainsi que des procédures de contrôle interne mises en place par la société ». Aux termes du nouvel article L. 225-235 du Code de commerce, les commissaires aux comptes doivent désormais présenter leurs observations sur « les procédures de contrôle interne qui sont relatives à l’élaboration et au traitement de l’information comptable et financière » décrites dans le rapport visé aux articles L. 225-37 et 225-68 précités.
Les sociétés cotées sur un marché financier des États-Unis, quelle que soit leur nationalité, ainsi que leurs filiales étrangères ont, pour leur part, dû se soumettre aux dispositions de la loi américaine Sarbanes-Oxley du 29 août 2002 qui vise à rétablir la confiance à l’égard de l’information financière et comptable. Dans cette perspective, le texte organise une diffusion de l’information financière plus rapide et régulière (par exemple : réduction très sensible du délai de clôture des comptes, des délais d’annonces imposés …). En outre, et dans un esprit proche de la loi sur la Sécurité financière, la loi américaine organise le contrôle de l’information financière et met à la charge des dirigeants la responsabilité personnelle d’en d’évaluer la qualité.
Les entreprises cotées en France doivent, quant à elles, depuis le 1er janvier 2005, présenter leurs comptes consolidés conformément aux normes IFRS en application du règlement européen du 19 juillet 2002 sur l’application des normes comptables internationales. Cette normalisation, à laquelle peuvent également se soumettre spontanément les sociétés non cotées, vise principalement à garantir une meilleure transparence comptable. En effet, la présentation des comptes de ces entreprises selon des normes harmonisées en facilitera la compréhension, et surtout, la comparaison à l’échelon européen.
Enfin, les établissements de crédit ont anticipé la mise en œuvre de l’accord Bâle II de juin 2004 qui s’imposera à eux, probablement à la fin de l’année 2006. Ils devront alors utiliser un nouveau mode de calcul du ratio de solvabilité : le montant de leurs fonds propres sera déterminé en considération d’un panel élargi des risques auxquels ils sont exposés : le traditionnel risque de crédit mais également le risque opérationnel.
La sécurisation de l’information financière suppose une sécurisation de son traitement informatique au sein de l’entreprise Ces exigences normatives induisent inévitablement une mise en conformité des systèmes d’information dans les entreprises concernées ; ceux-ci apparaissent comme l’outil incontournable permettant d’améliorer la qualité de l’information et d’opérer les contrôles exigés. Ils sont indissociables des processus de contrôle interne de l’entreprise, tout particulièrement du processus de reporting financier. Ils doivent garantir le traitement de l’information, et notamment, de l’information comptable et financière, en adéquation avec les obligations qui s’imposent désormais aux entreprises.
A cet effet, les adaptations des systèmes d’information nécessitent la mise en œuvre d’outils informatiques permettant l’extraction de données plus nombreuses (les flux comptables traditionnels ne comportent pas suffisamment d’informations pour satisfaire aux normes IFRS) et issues de bases souvent disparates (par exemple en provenance de filiales), leur présentation suivant les nouvelles exigences et, enfin, la vérification de la cohérence des résultats produits. Dans certains cas les systèmes d’information sont amenés à traiter les données comptables selon un double référentiel (les normes IFRS et les normes françaises) sur plusieurs exercices.
Il importe que les nouveaux outils soient à la fois compatibles avec les systèmes existants mais également susceptibles de gérer les normes comptables qui n’ont pas fini d’évoluer (normes IFRS mais également normes françaises convergeant progressivement vers les normes internationales). L’audit de l’existant a pu conduire les entreprises à purement et simplement remettre en question leur système d’information et à en revoir l’architecture globale de manière à privilégier un projet d’ensemble harmonisé. La mise en œuvre de ce volet sécuritaire suppose, en outre, une définition ou redéfinition précise des procédures d’accès aux applications, des plans de secours, d’archivage et de protection des données nominatives.
Ainsi, au-delà des contraintes juridiques qu’elles imposent, les exigences d’une information financière sécurisée entraînent une réorganisation importante des procédures internes des entreprises et le renforcement corrélatif de la sécurité de leur système d’information.
LE « COUP DE SIFFLET » ET LA LOI INFORMATIQUE ET LIBERTES La loi Sarbanes-Oxley impose aux entreprises d’organiser une procédure d’alerte permettant aux salariés de dénoncer les pratiques illicites en matière comptable ou financières au sein de l’entreprise. L’organisation de ce système de whistleblowing (ou de « coup de sifflet ») par les filiales françaises de sociétés américaines durant l’année 2005 a conduit la CNIL à en préciser les modalités en considération des impératifs de protection des données personnelles posés par la loi Informatique et libertés du 6 janvier 1978.
Tout a commencé en mai 2005 avec le refus de la CNIL d’autoriser les projets de « lignes éthiques » présentés par deux entreprises en vue d’organiser le signalement par les salariés de comportements fautifs imputables à leurs collègues de travail. La CNIL a considéré que ces dispositifs, qui permettaient le recueil de données personnelles, appelaient des réserves au regard de la loi Informatique et Libertés. Ainsi, la CNIL a relevé que ces procédés d’« alerte éthique » risquaient de conduire à une délation professionnelle, qui plus est anonyme, au sein des entreprises. Elle soulignait en outre que ces dispositifs étaient disproportionnés au regard des objectifs poursuivis et n’assurait pas une information immédiate des salariés désignés par l’alerte.
Dans une motivation très proche de celle de la CNIL, un juge des référés devait, en septembre 2005, ordonner le retrait de notes affichées dans une entreprise en vue d’y organiser la procédure d’ « alerte éthique » considérant que « la seule existence d’un dommage potentiel imminent pour les libertés individuelles de salariés victimes de dénonciations anonymes recueillies d’un dispositif privé échappant à tout contrôle, sans que l’intérêt de l’entreprise ne permette sérieusement de le justifier suffit à prononcer les mesures conservatoires qui s’imposent » (TGI Libourne, 15 septembre 2005).
Devant l’émotion suscitée par ces premières décisions parmi les entreprises soumises à l’obligation d’organiser de telles alertes, en vertu de la loi Sarbanes-Oxley, la CNIL a précisé les conditions de leur conformité à la loi Informatique et Libertés. Dans un document d’orientation en date du 10 novembre 2005, la CNIL indique ainsi que ces dispositifs d’alerte doivent être restreints au domaine du contrôle des comptes et de la lutte contre la corruption, qu’ils ne doivent pas encourager les dénonciations anonymes, qu’ils doivent prévoir une organisation spécifique pour recueillir et traiter les alertes et, enfin, que la personne concernée doit être informée de la dénonciation dont elle a fait l’objet, dès que les preuves auront été préservées.
Enfin, en décembre 2005, la CNIL adoptait une décision d’autorisation unique de ces dispositifs d’alerte : les entreprises respectant les termes de cette décision n’auront qu’à déclarer auprès de la CNIL leur dispositif d’alerte professionnelle.
Ainsi donc, il semble bien que l’année 2005 aura finalement permis de concilier les impératifs issus de la loi Sarbanes-Oxley avec ceux de la loi Informatique et Libertés.