La cybersécurité ne relève pas, en tant que telle, d’une obligation générale de surveillance technique du commissaire aux comptes. Elle entre toutefois dans le champ de sa mission lorsqu’elle affecte le contrôle interne, les systèmes d’information ou le risque d’anomalies significatives dans les comptes. Dans ce cadre, la responsabilité civile du CAC, fondée sur l’article L. 822-17 du Code de commerce, s’apprécie au regard des diligences imposées par les normes d’exercice professionnel, sans faire de lui le garant de l’absence de fraude, de cyberattaque ou de défaillance informatique. L’enjeu n’est donc pas de savoir s’il doit tout détecter, mais jusqu’où ses travaux sur le contrôle interne et l’environnement informatique peuvent engager sa responsabilité.
I- La cybersécurité comme objet d’audit encadré : les diligences attendues du CAC.
a. L’appréciation du contrôle interne et des systèmes d’information dans une logique de risque.
Dans le cadre de sa mission de certification, le commissaire aux comptes n’apprécie pas le contrôle interne de manière générale. Il l’examine uniquement dans la mesure où il peut influer sur la fiabilité de l’information comptable et financière. À ce titre, il évalue les procédures et l’environnement de contrôle, y compris informatique, dans la seule mesure nécessaire à l’identification des risques d’anomalies significatives dans les comptes. Cette analyse porte notamment sur l’organisation des responsabilités, la séparation des tâches, les modalités d’accès aux données et la fiabilité des traitements automatisés. En matière de cybersécurité, l’enjeu est donc indirect, mais bien réel : les faiblesses du système d’information doivent être prises en compte dès lors qu’elles exposent les comptes à un risque accru.
b. L’adaptation des travaux d’audit, la documentation des diligences et l’information des dirigeants.
Une fois les risques identifiés, le CAC doit adapter la nature, le calendrier et l’étendue de ses procédures d’audit à la taille de l’entité, à la complexité du système d’information, au volume d’opérations et au seuil de signification. Dans un environnement fortement informatisé, il lui appartient de disposer des compétences nécessaires ou de recourir à un spécialiste, notamment lorsque l’accès aux données, l’automatisation des écritures ou les échanges électroniques conditionnent la fiabilité des enregistrements. Cette approche par les risques suppose un jugement professionnel documenté, portant sur le choix des procédures, l’évolution des travaux et les constats significatifs. Enfin, lorsque des déficiences de contrôle interne sont relevées (par exemple sur les accès ou la séparation des tâches), le CAC doit en informer la direction, de préférence par écrit, afin de matérialiser l’alerte et de sécuriser la traçabilité.
II- La responsabilité du CAC : un périmètre encadré entre mise en cause et limites légales.
a. Les hypothèses d’engagement de responsabilité en cas de fraude ou de cyber incident.
La responsabilité civile du CAC peut être recherchée lorsqu’une fraude ou un cyber incident a un impact sur les comptes et qu’il est démontré une faute ou une négligence dans l’exécution des diligences attendues au regard des normes professionnelles. En pratique, la mise en cause vise moins l’absence de détection « absolue » que l’insuffisance d’analyse du contrôle interne, l’absence d’adaptation des contrôles à des faiblesses identifiées, ou encore le défaut de communication aux dirigeants sur des déficiences significatives. Le préjudice retenu est fréquemment une perte de chance : celle de déceler plus tôt des détournements et d’y mettre fin, lorsque l’accomplissement normal de la mission aurait permis d’identifier des signaux d’alerte. Encore faut-il établir un lien de causalité certain entre la carence alléguée et la chance perdue.
b. Les limites de la mission : pas de garantie cybersécurité, non-substitution et cadres d’information.
Les textes et la doctrine encadrent strictement le périmètre de responsabilité de l’auditeur légal. Ses travaux, conduits selon une approche par les risques et des contrôles par sondages, ne lui imposent ni une surveillance permanente, ni la détection de toute faille de sécurité ou de toute fraude. Il ne peut pas non plus se substituer à la direction, aux équipes informatiques ou à l’audit interne, ni prendre en charge la gestion opérationnelle d’un incident cyber.
Même lorsqu’il réalise des interventions distinctes de la certification, comme une analyse de maturité cyber ou un audit des systèmes d’information, celles-ci restent bornées par les règles d’indépendance et d’incompatibilité. Elles ne confèrent aucune garantie générale sur le dispositif de cybersécurité.
Enfin, son secret professionnel limite la diffusion d’informations sensibles, hors exceptions légales, notamment en matière de procédure d’alerte ou de prévention des difficultés.
En matière de cybersécurité, la responsabilité du commissaire aux comptes se joue moins sur la survenance d’un incident que sur la robustesse, la pertinence et la traçabilité de sa démarche d’audit. Le risque principal n’est pas de “ne pas tout voir”, mais de ne pas avoir identifié, apprécié et documenté, conformément aux normes, les faiblesses du contrôle interne et de l’environnement informatique susceptibles d’altérer les comptes, ni d’avoir signalé aux dirigeants les déficiences significatives. À l’inverse, le CAC n’assure ni la conception du dispositif cyber, ni sa surveillance continue, ni la gestion opérationnelle d’un incident. L’appréciation de sa responsabilité demeure donc fondamentalement factuelle et suppose d’examiner, au cas par cas, le contexte de l’entité, les risques identifiés et les diligences effectivement mises en œuvre.
Notre cabinet vous accompagne pour analyser votre situation et en mesurer les conséquences juridiques et pratiques.
