CNCC 4-103

4-103. INTERVENTION WEBTRUST

[adsenseyu1]

Introduction

.01 – La présente norme a pour objet de définir des principes fondamentaux et de préciser leurs modalités d’application relatifs à l’intervention du commissaire aux comptes d’une entité à qui il est demandé d’émettre un rapport en vue de l’obtention par cette entité du sceau WebTrust.

.02 – L’intervention du commissaire aux comptes en vue de l’obtention par l’entité du sceau WebTrust sur son site de commerce électronique a pour objectif d’apprécier la sincérité de la déclaration faite par l’entité portant sur la description de ses pratiques en matière de commerce électronique et sur leur conformité avec les principes et critères WebTrust relatifs à :

– la transparence des pratiques en matière de commerce électronique et de confidentialité de l’information ;

– l’intégrité des transactions ;

– la protection des informations.

Rappel du contexte

.03 – Le commerce électronique couvre un ensemble d’opérations commerciales réalisées de manière électronique, sans document papier, à l’aide d’ordinateurs et de réseaux de télécommunication.

Les entités qui souhaitent faire  » certifier WebTrust  » leur site de commerce électronique, visent à conforter la confiance des consommateurs, en les informant qu’elles appliquent certains principes contribuant à réduire les risques liés au commerce électronique.

Justification de l’intervention du commissaire aux comptes de l’entité

.04 – En l’absence de support légal ou réglementaire confiant la mission WebTrust à un commissaire aux comptes, celle-ci ne saurait être effectuée sous le couvert du titre de commissaire aux comptes par un professionnel qui n’assurerait pas déjà les fonctions de commissaire aux comptes au sein de l’entité concernée.

.05 – Le commissaire aux comptes d’une entité peut accepter, lorsque celle-ci le lui demande, et après avoir pris en considération le facteur d’utilité ou de service pour l’entité, d’émettre un rapport, en dehors des cas expressément prévus par les textes légaux ou réglementaires, portant sur des informations qui ne sont pas étrangères aux activités et documents de l’entité et qui entrent normalement dans le champ de ses investigations.

Il s’agit alors d’une intervention dite conventionnelle, connexe à sa mission générale.

.06 – L’utilité pour une entité de détenir le sceau WebTrust n’est pas contestable.

Les procédures de l’entité liées aux ventes font partie du champ des investigations du commissaire aux comptes, que ces ventes soient réalisées via le commerce électronique ou des circuits plus traditionnels. Une analyse de ces procédures en fonction des risques qui y sont attachés fait partie du déroulement classique de la méthodologie d’audit et constitue le point de départ d’investigations spécifiques plus approfondies exigées par l’intervention WebTrust. Ce faisant, cette dernière est de nature à renforcer l’efficience et la valeur ajoutée de la mission générale.

Nature de l’assurance et place de l’intervention WebTrust dans le cadre général des interventions du commissaire aux comptes

.07 – L’intervention WebTrust se fonde sur une information déclarative de l’entité affirmant qu’elle respecte bien les principes WebTrust (transparence des pratiques en matière de commerce et de confidentialité de l’information, intégrité des transactions, protection de l’information). Elle nécessite ainsi une vérification des procédures de l’entité en matière de commerce électronique. Cette intervention se classe donc parmi les  » autres intervention définies  » du commissaire aux comptes, telles que décrites dans le cadre conceptuel.

.08 – Cette intervention vise à obtenir une assurance raisonnable sur la conformité des procédures de l’entité aux principes et critères WebTrust afin de pouvoir conforter la crédibilité de l’affirmation faite à cet égard par l’entité. Elle se classe par conséquent parmi les interventions destinées à  » apprécier une valeur, une procédure, une organisation, une situation … par référence à des critères identifiés et au regard d’objectifs définis « .

.09 – L’assurance obtenue par le commissaire aux comptes est exprimée sous une forme adaptée aux objectifs de l’intervention (procédures garantissant la transparence des pratiques, l’intégrité des transactions et la protection de l’information). L’assurance raisonnable obtenue justifie une formulation de l’avis du commissaire aux comptes sous une forme positive, portant sur tous les aspects significatifs des procédures de l’entité en matière de commerce électronique.

Conditions de l’intervention

.10 – Le commissaire aux comptes respecte les principes de base qui gouvernent son comportement professionnel, notamment en termes d’indépendance, de compétence et de secret professionnel.

.11 – De manière à préserver son indépendance et son apparence d’indépendance, le commissaire aux comptes veille à ce que l’intervention WebTrust conserve un caractère accessoire par rapport à sa mission générale, notamment en termes de temps passé et d’honoraires.

.12 – L’intervention du commissaire aux comptes étant périodique (au moins tous les trois mois) et liée à des changements éventuels dans les pratiques de l’entité, le risque qu’elle perde ce caractère accessoire nécessite d’être régulièrement suivi. Il appartient ainsi au commissaire aux comptes de réexaminer périodiquement si l’évolution des conditions de son intervention n’est pas de nature à remettre celle-ci en cause.

.13 – S’agissant d’une intervention qui requiert une expertise technique particulière, la compétence du commissaire aux comptes revêt un caractère essentiel au regard de l’acceptation et du maintien de cette intervention. Il doit notamment avoir suivi la formation nécessaire pour pouvoir être inscrit sur la liste des professionnels habilités à effectuer cette intervention .

.14 – Le commissaire aux comptes est conduit à se prononcer sur l’affirmation faite par l’entité qu’elle respecte bien les principes et critères WebTrust. N’étant pas un dispensateur direct d’informations, le commissaire aux comptes veille à ce que ses relations avec le gestionnaire du sceau restent compatibles avec son obligation de secret professionnel.

Acceptation de l’intervention

.15 – Après avoir apprécié la possibilité d’accepter l’intervention qui lui est demandée par l’entité, il appartient au commissaire aux comptes de formaliser par écrit son acceptation et les conditions de réalisation de celle-ci.

.16 – De manière à éviter toute ambiguité sur la responsabilité qu’il prend, le commissaire aux comptes peut se référer à l’exemple de lettre figurant en annexe au contrat de licence souscrit auprès de WebTrust France.

.17 – Dans tous les cas, il appartient au commissaire aux comptes de rappeler :

Рles incidences possibles de son intervention WebTrust sur les diff̩rents aspects de sa mission g̩n̩rale, et notamment sur certaines de ses obligations express̩ment pr̩vues par la loi et r̩ciproquement ;

– les modalités convenues en matière de transmission d’informations par le commissaire aux comptes au gestionnaire du sceau (cf. paragraphes . 46 – et . 47 -).

.18 – Compte tenu de l’importance de ces éléments, il apparaît nécessaire que la direction confirme son accord, par exemple en retournant au commissaire aux comptes un exemplaire signé de sa lettre.

Obligations de l’entité

.19 – La déclaration faite par la direction de l’entité et sur laquelle porte l’avis du commissaire aux comptes, vise, conformément aux principes et critères WebTrust , à :

– décrire les pratiques qu’elle a adoptées en matière de commerce et de confidentialité de l’information relatives au commerce électronique et indique qu’elle effectue ses opérations conformément à ces pratiques (principe de transparence des pratiques en matière de commerce et de confidentialité de l’information) ;

– informer qu’elle a mis en place des contrôles efficaces de nature à procurer l’assurance que les opérations conclues avec le client par la voie du commerce électronique sont traitées et facturées comme convenu (principe d’intégrité des transactions) ;

– confirmer qu’elle a mis en place des contrôles efficaces de nature à procurer l’assurance que les renseignements personnels du client obtenus dans le cadre d’une opération de commerce électronique sont protégés, contre toute utilisation étrangère aux activités de l’entité (principe de protection des informations).

.20 – Cette déclaration qui figure sur le site de commerce électronique de l’entité est faite également sur un support écrit de manière à ce que le commissaire aux comptes puisse en conserver un exemplaire dans son dossier et l’annexer à son rapport écrit (cf. paragraphe . 40 -).

.21 – Pour que la déclaration soit fondée, la direction de l’entité doit s’être dotée d’un système de contrôle interne approprié pour ses opérations de commerce électronique.

Planification de l’intervention

.22 – Le commissaire aux comptes planifie et conduit sa mission en faisant preuve d’esprit critique et en étant conscient que certaines situations peuvent conduire à des anomalies significatives dans la déclaration de la direction.

.23 – La détermination, par le commissaire aux comptes, de l’étendue et de la fréquence de ses interventions ainsi que de la nature de ses travaux, nécessite de prendre en compte :

– la nature et la complexité des activités poursuivies par l’entité ;

Рles caract̩ristiques de son site Web et en particulier les changements qui y sont apport̩s, la rapidit̩ de ses ̩volutions et son dynamisme ;

– les risques spécifiques attachés à chacun des critères qui définissent chacun des principes WebTrust.

.24 – Dans le cadre de la planification de ses interventions ultérieures (au moins tous les trois mois), le commissaire aux comptes prend également en compte l’efficacité de l’environnement général de contrôle qu’il a été conduit à apprécier lors de sa vérification initiale.

Diligences

.25 – Afin de répondre à l’objectif d’assurance raisonnable, le commissaire aux comptes réunir des éléments probants suffisants et appropriés justifiant la déclaration faite par la direction sur la conformité des procédures de l’entité aux principes et critères WebTrust.

.26 – Pour réunir ces éléments probants sur lesquels se fonde l’avis du commissaire aux comptes, celui-ci met en oeuvre des diligences qui comportent essentiellement pour chacun des principes WebTrust (transparence des pratiques en matière de commerce et de confidentialité de l’information, intégrité des transactions, protection des informations) :

– une prise de connaissance des pratiques et système de contrôle interne relatifs aux opérations de commerce électronique réalisées par l’entité ;

Рla r̩alisation de tests pour v̩rifier la conformit̩ des op̩rations effectu̩es avec les pratiques commerciales indiqu̩es ;

– la mise en oeuvre de sondages pour vérifier l’efficacité du fonctionnement des contrôles mis en place.

.27 РLes crit̬res WebTrust qui explicitent de mani̬re d̩taill̩e le contenu de chacun des principes WebTrust constituent le r̩f̩rentiel par rapport auquel le commissaire aux comptes d̩finit, organise ses contr̫les et fonde son avis.

.28 – La vérification du respect du principe attaché à la transparence des pratiques en matière de commerce et de confidentialité de l’information nécessite d’apprécier, au regard des critères WebTrust qui lui sont attachés, le caractère pertinent des informations présentées sur le site nécessaires à une transaction ainsi que le respect des pratiques annoncées.

Lors de la phase de prise de connaissance des informations mises à la disposition des utilisateurs du site, le commissaire aux comptes vérifie notamment que :

– les informations nécessaires aux transactions sont présentes (description des biens et services proposés, conditions générales de ventes, description du service après vente, voies de recours offertes, …) ;

– les pratiques adoptées en ce qui concerne l’utilisation, la protection et la conservation des renseignements des clients sont indiquées ;

– l’ensemble de ces informations est aisément accessible.

Les tests de conformité et les sondages mis en oeuvre par le commissaire aux comptes ont pour but de vérifier que, sur une période minimale de trois mois :

– l’entité avait en place un environnement de contrôle, et notamment des procédures de surveillance, permettant d’assurer que les pratiques indiquées en matière de commerce et de confidentialité de l’information sont toujours suivies et que ses contrôles sont efficaces ;

Рses contr̫les ont fonctionn̩ efficacement ;

Рelle a r̩ellement effectu̩ ses op̩rations conform̩ment aux pratiques de commerce ̩lectronique indiqu̩es.

.29 – La vérification du respect du principe d’intégrité des transactions nécessite d’apprécier, au regard des critères WebTrust qui lui sont attachés, les procédures de vente et de vérifier notamment que la livraison est conforme à la commande, que la facturation est conforme à la livraison et que le règlement est conforme à la facturation et, qu’en cas de non conformité, les anomalies sont traitées rapidement et des mesures correctives sont prises.

Le commissaire aux comptes prend connaissance des contrôles mis en place par l’entité afin d’assurer que les commandes passées par les clients sont traitées et facturées comme convenu.

Il met en oeuvre les tests et les sondages nécessaires afin de vérifier notamment que :

– la conception de ces contrôles permet de réduire les risques potentiels pour les clients à un niveau acceptable faible ;

Рces contr̫les sont appliqu̩s correctement et de mani̬re syst̩matique tout au long de la p̩riode v̩rifi̩e.

.30 – La vérification du respect du principe de protection des informations nécessite d’apprécier, au regard des critères WebTrust qui lui sont attachés, la qualité des systèmes et des procédures mis en oeuvre à l’occasion de la transmission des informations attachées aux règlements des clients ainsi que les procédures de conservation des données personnelles concernant les clients.

Le commissaire aux comptes prend connaissance du dispositif de protection des informations existant. Un tel dispositif doit comporter notamment :

– des solutions techniques visant à assurer la sécurité des paiements électroniques ;

Рdes protections logiques assur̩es par des mots de passe ;

– des procédures de protection d’accès aux fichiers, tant de l’intérieur que de l’extérieur de l’entité.

Le commissaire aux comptes met en oeuvre les tests et les sondages nécessaires afin de vérifier que le système en place permet de protéger les fichiers de l’entité contre toute intrusion extérieure ou intérieure et que les dispositifs de protection fonctionnent efficacement.

Interventions ultérieures

.31 – Les diligences du commissaire aux comptes, dans le cadre de ses interventions ultérieures à la vérification initiale, comportent :

– dans le cas où le commissaire aux comptes intervient à la suite de modifications apportées par l’entité, l’appréciation des conséquences de ces modifications sur l’ensemble du système et l’adaptation de ses diligences en fonction de ses constatations ;

– dans le cas où il intervient alors qu’aucune modification ne lui a été signalée (en tout état de cause, au moins tous les trois mois), la vérification que les procédures identifiées précédemment continuent de fonctionner de manière satisfaisante.

Documentation

.32 РLe commissaire aux comptes consigne dans ses dossiers de travail les ̩l̩ments importants sur lesquels se fonde son avis et permettant de justifier que ses travaux ont ̩t̩ effectu̩s selon la pr̩sente norme.

Liens avec la mission générale

.33 – S’agissant d’une intervention du commissaire aux comptes connexe à sa mission générale, celle-ci peut avoir des conséquences directes sur les différents aspects de sa mission générale et notamment sur certaines des obligations du commissaire aux comptes prévues par la loi, et réciproquement.

Il appartient ainsi au commissaire aux comptes de veiller à ce que l’ensemble de ces relations soient gérées de manière cohérente et pertinente.

.34 – Si le commissaire aux comptes relève, dans le cadre de son intervention WebTrust des anomalies constitutives par ailleurs d’irrégularités au regard de la loi française, voire de faits délictueux, il détermine, en se référant aux normes appropriées, s’il convient de les signaler et/ou de les révéler, en application des dispositions prévues par les articles L. 823-16 et L. 225-240 du Code de commerce.

Il détermine également les incidences possibles des anomalies ainsi relevées sur le déroulement de sa mission d’audit, et notamment sur l’orientation et la planification de celle-ci.

.35 – Si le commissaire aux comptes relève, dans le cadre de sa mission générale, des faits de nature à compromettre la continuité de l’exploitation le conduisant à mettre en oeuvre la procédure d’alerte et ayant une incidence sur son rapport général, il en tire les conséquences éventuelles sur son rapport WebTrust.

.36 – De même, si le commissaire aux comptes est conduit à certifier les comptes de l’entité avec réserve, ou à refuser de les certifier, il en tire les conséquences appropriées sur son rapport WebTrust.

.37 – Dans les situations évoquées aux deux paragraphes précédents, le commissaire aux comptes détermine également s’il convient de mettre un terme à son intervention WebTrust.

Conclusion et rapport

.38 РSur la base des travaux effectu̩s, le commissaire aux comptes ̩value si les ̩l̩ments probants recueillis lors de ses v̩rifications lui permettent de fonder son avis.

.39 – Le commissaire aux comptes établit un rapport à l’issue de chaque période couverte par ses vérifications, conformément aux modèles annexés ci-après, dans lequel il donne son avis sur la déclaration de la direction de l’entité.

.40 – Le rapport du commissaire aux comptes établi sur support papier comprend, en annexe, la déclaration écrite de l’entité.

Le rapport du commissaire aux comptes lié au sceau WebTrust affiché sur le site de commerce électronique de l’entité comporte un lien hypertexte avec la déclaration de l’entité.

.41 РLe rapport comporte les mentions obligatoires caract̩risant tout rapport ̩mis par un commissaire aux comptes, et notamment :

– le cadre dans lequel se situe son intervention ;

Рses responsabilit̩s et celles des dirigeants ;

– la nature et les objectifs de son intervention ;

Рles v̩rifications effectu̩es et la r̩f̩rence aux normes concern̩es ;

– la conclusion exprimée sous une forme adaptée à son intervention.

.42 РLe rapport pr̩cise ̩galement :

– les limites inhérentes au fonctionnement de toute procédure et de tout système de contrôles et à l’utilisation des techniques de sondages ;

– la signification du sceau WebTrust et l’exclusion expresse, en conséquence, d’une quelconque assurance sur la qualité des produits ou des services proposés, leur adéquation par rapport aux besoins du consommateur, ainsi que sur la continuité de l’exploitation de l’entité.

.43 – Le commissaire aux comptes exprime un avis favorable en l’absence d’anomalies significatives relevées dans la déclaration de la direction au regard de ses pratiques en matière de commerce électronique et de leur conformité avec les principes et critères WebTrust.

.44 – Lorsque le commissaire aux comptes relève des anomalies significatives dans le respect par l’entité des principes et critères WebTrust, il en fait état dans son rapport et exprime un avis défavorable en précisant que l’entité ne peut donc pas afficher le sceau WebTrust sur son site de commerce électronique.

Transmission d’informations au gestionnaire du sceau

.45 – Le sceau constitue la représentation symbolique d’un rapport avec un avis favorable, qui informe l’utilisateur que le site de commerce électronique de l’entité est  » certifié WebTrust « . Il est géré par un prestataire technique indépendant du commissaire aux comptes et de l’entité, dénommé gestionnaire du sceau.

Le gestionnaire du sceau réalise les opérations d’affichage et de retrait du sceau à partir des informations reçues.

.46 – Lorsque le commissaire aux comptes délivre un rapport avec un avis favorable, il l’adresse à l’entité et en délivre simultanément une copie au gestionnaire du sceau.

.47 – Lorsque le commissaire aux comptes n’est plus en mesure de délivrer un rapport avec un avis favorable, il en informe les dirigeants de l’entité par lettre, accompagnée du rapport qui explicite les manquements au respect des principes WebTrust, et leur rappelle la nécessité de demander au gestionnaire du sceau le retrait de ce dernier. Il adresse simultanément au gestionnaire du sceau une copie de la seule lettre d’accompagnement du rapport précité, l’informant ainsi de la nécessité de retirer le sceau.

Annexe : Modèles de rapport

.M1 – Rapport du commissaire aux comptes (avis favorable)

En notre qualité de commissaire aux comptes de … …, et suite à la demande qui nous a été faite, nous avons vérifié la déclaration selon laquelle, sur son site Web consacré au commerce électronique (à WWW.ABC.COM), pour la période allant du … au …, l’entité … …a, conformément aux principes et critères WebTrust [lien hypertexte] :

– indiqué ses pratiques en matière de commerce électronique et effectué ses opérations conformément à ces pratiques ;

– mis en place des contrôles efficaces de nature à procurer l’assurance que :

Рles commandes pass̩es par les clients par la voie du commerce ̩lectronique ont ̩t̩ trait̩es et factur̩es comme convenu,

– les renseignements personnels concernant les clients, obtenus dans le cadre des opérations de commerce électronique, ont été protégés contre toute utilisation étrangère aux activités de … …

La responsabilité de cette déclaration, telle que jointe au présent rapport, incombe à… …[lien hypertexte] Il nous appartient, sur la base de nos travaux, de nous prononcer sur la sincérité de cette déclaration.

Notre vérification a été effectuée conformément aux normes professionnelles applicables en France. Celles-ci requièrent que cette vérification soit planifiée et exécutée de manière à obtenir l’assurance raisonnable que la déclaration de … … ne comporte pas d’anomalies significatives. Notre vérification a comporté notamment une prise de connaissance des pratiques de … … en matière de commerce électronique, de ses contrôles sur le traitement des opérations ainsi réalisées et sur la protection des renseignements personnels concernant les clients, ainsi que la mise en oeuvre de sondages pour vérifier la conformité des opérations effectuées avec les pratiques commerciales indiquées et l’efficacité du fonctionnement des contrôles mis en place. Nous estimons que notre vérification fournit une base raisonnable à l’avis exprimé ci-après.

A notre avis, la déclaration de … … de … …, pour la période du … au …, présente sincèrement, dans tous leurs aspects significatifs, les pratiques de … … en matière de commerce électronique et leur conformité avec les principes et critères WebTrust.

Compte tenu des limites inhérentes au fonctionnement de toute procédure et de tout système de contrôles et à l’utilisation des techniques de sondages, il est possible que des anomalies se soient produites sans être détectées. En outre, toute projection des résultats d’une évaluation des contrôles à des périodes futures présente un risque, puisqu’il est possible que ceux-ci deviennent inadéquats en raison de nouvelles circonstances ou que leur degré de conformité aux procédures diminue.

Le sceau WebTrust affiché sur le site Web de commerce électronique de … … constitue la représentation symbolique du contenu du présent rapport mais n’a pas pour objet, ni ne doit être interprété comme ayant pour objet, d’actualiser ce rapport ou de fournir une quelconque assurance additionnelle portant notamment sur la continuité de l’exploitation de … …, sur la qualité des biens et des services proposés par … … ou sur leur adéquation aux attentes du consommateur.

Lieu, date, signature

.M2 РRapport du commissaire aux comptes (avis d̩favorable)

En notre qualité de commissaire aux comptes de … …, et suite à la demande qui nous a été faite, nous avons vérifié la déclaration selon laquelle, sur son site Web consacré au commerce électronique (à WWW.ABC.COM), pour la période allant du … au …, l’entité … … a, conformément aux principes et critères WebTrust [lien hypertexte] :

– indiqué ses pratiques en matière de commerce électronique et effectué ses opérations conformément à ces pratiques ;

– mis en place des contrôles efficaces de nature à procurer une assurance raisonnable que :

Рles commandes pass̩es par les clients par la voie du commerce ̩lectronique ont ̩t̩ trait̩es et factur̩es comme convenu,

– les renseignements personnels concernant les clients, obtenus dans le cadre des opérations de commerce électronique ont été protégés contre toute utilisation étrangère aux activités de … …

La responsabilité de cette déclaration, telle que jointe au présent rapport, incombe à… … [lien hypertexte] Il nous appartient, sur la base de nos travaux, de nous prononcer sur la sincérité de cette déclaration.

Notre vérification a été effectuée conformément aux normes de la profession. Celles-ci requièrent que cette vérification soit planifiée et exécutée de manière à obtenir l’assurance raisonnable que la déclaration de … … ne comporte pas d’anomalies significatives. Notre vérification a comporté notamment une prise de connaissance des pratiques de … … en matière de commerce électronique, de ses contrôles sur le traitement des opérations ainsi réalisées et sur la protection des renseignements personnels concernant les clients, ainsi que la mise en oeuvre de sondages pour vérifier la conformité des opérations effectuées avec les pratiques commerciales indiquées et l’efficacité du fonctionnement des contrôles mis en place. Nous estimons que notre vérification fournit une base raisonnable à l’avis exprimé ci-après.

Sur la base des travaux effectués, nous avons relevé les anomalies suivantes dans le respect des principes et critères WebTrust :

(Indication et description des anomalies)

En raison des faits exposés ci-dessus, nous sommes d’avis que la déclaration de … … de … … pour la période du … au …, ne présente pas sincèrement, dans tous leurs aspects significatifs, les pratiques de … … en matière de commerce électronique qui n’apparaissent pas conformes aux principes et critères WebTrust. L’entité … … ne peut donc pas afficher le sceau WebTrust sur son site de commerce électronique.

Lieu, date, signature

Recommandations