{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
Cristian Mangianello
Partner, Risk and Compliance Management
Ralf Hofstetter
Director, Trust and Transparency Solutions
Les offres de partage s’imposent également dans le domaine du business-to-business. De plus en plus souvent, les entreprises louent des produits sous la forme d’un ensemble complet de services basés sur des données, plutôt que de les acheter. Les bailleurs, les locataires et les utilisateurs ont un intérêt commun à ce que les données d’utilisation collectées, souvent personnelles, soient traitées et conservées en toute sécurité. Cette sécurité est fournie par un audit indépendant.
Utilisation partagée, bénéfice double
Dans le sillage de la tendance « louer plutôt qu’acheter » et avec l’avènement de l’Internet des objets (IdO), une puissante économie du partage a vu le jour, qui s’étend du service de taxi à la machine à laver, en passant par les solutions de financement dans presque tous les secteurs. Ce qui est depuis longtemps la normalité pour les clients finaux s’impose désormais aussi dans l’environnement commercial et remplace ainsi le leasing opérationnel classique. C’est compréhensible, car lorsqu’une entreprise achète un produit sous forme de package de services à terme, elle flexibilise ses coûts, réduit son capital immobilisé et se maintient automatiquement à la pointe de la technique et de la technologie. Du point de vue du fabricant, cela modifie le modèle d’entreprise, qui passe du statut de simple fabricant à celui de prestataire de services (également connu sous le nom de « servicisation »).
Deux exemples pratiques
Exemple n°1 : un fabricant de machines-outils met ses produits à la disposition des entreprises de construction et des entreprises artisanales, sous la forme d’une solution de location avec contrat de maintenance intégré. Grâce à la mise en réseau numérique du portefeuille, il sait à tout moment où, quand et pour combien de temps une machine est en service. Il peut ainsi prévoir avec précision les besoins en entretien de ses outils et en informer sa clientèle à temps. Si les outils sont développés en conséquence, ils restent ainsi plus longtemps en service et peuvent contribuer de manière significative à la durabilité.
Exemple n°2 : une entreprise pharmaceutique propose des plateformes d’analyse sur mesure. Ici, les hôpitaux, les cliniques ou les professionnels de la santé peuvent utiliser des algorithmes et l’intelligence artificielle afin de transformer leurs données d’exploitation ou leurs diagnostics en connaissances approfondie sur les prestations, les traitements et les thérapies, optimisant ainsi leur efficacité opérationnelle et les soins aux patients. Dans cet exemple, cela implique, outre l’utilisation des données, un changement du mode de paiement en « Pay-per-Use » ou « Pay-per-Analysis ».
Les données en tant que produit
Les modèles commerciaux avec des services numériques reposent sur une matière première précieuse : les données. Les fournisseurs de ce type de services collectent généralement de nombreuses informations, éventuellement personnalisées. Ils savent qui, dans quelle entreprise, utilise leur service, quand et avec quelle intensité. Ils peuvent en tirer des conclusions sur la consommation, le comportement, les différentes équipes ou même les personnes. Une grande question se pose donc pour toutes les personnes impliquées dans ce modèle commercial, c’est-à-dire pour les bailleurs, les locataires et les utilisateurs : quel est le niveau de sécurité de ces données ?
La responsabilité d’entreprise revisitée
La possession et l’utilisation de données à caractère personnel impliquent que celles-ci doivent être protégées de manière adéquate. Tant le fabricant de la machine-outil que le fournisseur de la plateforme d’analyse de nos exemples ci-dessus doivent faire preuve de transparence quant à la sécurité et à l’utilisation des données collectées et s’assurer qu’elles répondent aux exigences légales, réglementaires et contractuelles, et qu’elles sont traitées et stockées conformément aux lois en vigueur. Elles doivent notamment être conformes au règlement général sur la protection des données de l’Union européenne (RGPD) ou à la loi sur la protection des données et son ordonnance (LPD et OLPD), leurs équivalents en Suisse.
Les clients réglementés - ou les clients présentant une grande maturité en particulier - exigent souvent plus que la simple confirmation que ces directives sont effectivement respectées. Ils exigent qu’un cabinet indépendant valide cette affirmation en fournissant un rapport d’audit. Ceci dans le but d’exercer un contrôle global sur leurs processus de création de valeur, en amont et en aval. C’est là qu’intervient l’audit indépendant selon une norme internationalement reconnue.
S'assurer de la sécurité du traitement et de la conservation des données
L’audit de la sécurité de l’information dans certains secteurs d’activité est volontaire, c’est-à-dire sans mandat légal (explicite). Il s’agit dans la plupart des cas de données non financières. En tant que société indépendante, nous appliquons les normes d’audit pour les rapports non financiers.
- Dans le contexte international, l’ISAE 3000 (révisée), qui a été mise à jour par l’International Auditing and Assurance Standards Board (IAASB) en 2013, est appropriée. La norme est fondée sur des principes clés et peut être appliquée à un large éventail de missions d’audit non financières, telles que les déclarations certifiées relatives à la responsabilité sociale de l’entreprise ou à la responsabilité numérique, à la sécurité des données ou aux systèmes de contrôle interne.
- Si une entreprise opère principalement aux Etats-Unis, un contrôle SOC (Service Organization Control) s’impose. Un rapport SOC-2® passe au crible les contrôles internes liés à la sécurité, la disponibilité, l'intégrité et la confidentialité (protection des données) - dénommés "Trust Services Criteria" - le critère de sécurité étant obligatoire.
Un bilan positif
Un audit offre des avantages extrêmement intéressants. Le rapport d’audit fournit à l’entreprise auditée l’assurance qu’elle respecte les conditions contractuelles ainsi que les dispositions de l'organisme de régulation - la référence de normalisation et de l’autorégulation dans tous les domaines pertinents. L’entreprise peut prouver à ses parties prenantes qu’elle respecte les directives en vigueur, grâce à un audit élaboré par un cabinet indépendant. Le travail initial pour l’élaboration des critères d’audit est certes considérable et, comme pour les audits de comptes annuels, des coûts d'exploitation et de mission d'audit encourent. Mais selon la situation contractuelle, l’entreprise peut répercuter ces coûts et/ou en bénéficier pendant plusieurs années.
Une chance plutôt qu’un obstacle
Le législateur n’exige pas un audit indépendant. Pour une fois, il ne s’agit donc pas d’un mal inopportun, mais d’une opportunité prometteuse ou d’un facteur de différenciation. Les entreprises qui proposent ou utilisent des services numériques - avec ou à la place des produits - doivent se demander si ces services sont sûrs et s'ils offrent réellement une transparence maximale quant aux risques liés aux données concernées. Le fait de prouver la fiabilité de ces critères renforce non seulement leur conformité, mais peut également constituer un véritable avantage concurrentiel, et surtout un gage de confiance attesté.
{{filterContent.facetedTitle}}
{{contentList.loadingText}}
{{contentList.loadingText}}
Contact us
