Sécuriser ses données avec Ami Compta : ce que tout cabinet doit vérifier

Réglementation
Comptable masculin vérifiant la sécurité des données sur le logiciel Ami Compta dans un cabinet comptable moderne

Les cabinets comptables qui adoptent un outil cloud comme Ami Compta confient à un tiers l’hébergement de données clients sensibles : bilans, déclarations fiscales, pièces justificatives. Cette délégation technique ne supprime pas la responsabilité du cabinet. Elle la déplace vers un terrain où les questions à poser ne sont plus comptables, mais juridiques et informatiques.

Sommaire
Localisation des données et juridiction applicable : le premier point à vérifier avec Ami ComptaTraitement IA et données clients : ce que les recommandations CNIL changent pour Ami ComptaLes questions à poser à l’éditeurPreuves de sécurité exigées par les clients : audit, certifications et engagements contractuelsCertification et audit : distinguer le marketing de la preuveResponsabilité du cabinet : ce qu’Ami Compta ne couvre pas

Depuis 2023, l’Ordre des experts-comptables et plusieurs CRCC rappellent que les cabinets doivent pouvoir démontrer où sont stockées les données, qui y a accès et sous quelle juridiction elles tombent. Parallèlement, la CNIL a publié des recommandations sur les traitements d’intelligence artificielle qui imposent aux éditeurs une documentation précise sur la base légale des traitements et les mesures prises pour éviter le réapprentissage sur des données sensibles.

A lire en complément : Comment trouver le bon code CATEGORIE socioprofessionnelle pour un salarié ?

Localisation des données et juridiction applicable : le premier point à vérifier avec Ami Compta

La question de la souveraineté des données n’est plus théorique. Un logiciel hébergé hors de l’Union européenne expose potentiellement les données clients aux législations extraterritoriales (Cloud Act américain, par exemple). Même un hébergement sur un datacenter européen peut poser problème si l’éditeur ou sa maison mère relève d’une juridiction non européenne.

Pour un cabinet qui utilise Ami Compta, la vérification commence par un point simple : obtenir la localisation exacte des serveurs d’hébergement. Pas une réponse vague du type « nos données sont en Europe », mais le pays, le prestataire d’infrastructure, et la mention contractuelle qui engage l’éditeur sur ce point.

A voir aussi : Quelles données personnelles sont considérées ? Points importants à savoir

L’Ordre pousse désormais les cabinets à exiger des clauses de data residency dans les contrats logiciels. Cette exigence devient un critère de choix concret lors de l’adoption ou du renouvellement d’un outil de production comptable. Un cabinet qui ne peut pas répondre à un client demandant « où sont mes données ? » se retrouve en difficulté déontologique.

Experte-comptable gérant les contrôles d'accès et la sécurisation des fichiers sur un poste de travail double écran

Traitement IA et données clients : ce que les recommandations CNIL changent pour Ami Compta

Ami Compta intègre de l’intelligence artificielle pour automatiser la saisie des écritures comptables. Cette automatisation repose sur l’analyse de documents (factures, relevés) qui contiennent des données personnelles et financières de tiers.

Les recommandations CNIL 2023-2024 sur l’IA créent une obligation documentaire claire. L’éditeur doit préciser la base légale du traitement IA (contrat ou intérêt légitime), décrire les données utilisées pour l’entraînement des modèles, et garantir que les données d’un cabinet ne servent pas à améliorer le service pour d’autres clients.

Ce dernier point, le réapprentissage, mérite une attention particulière. Si les factures traitées par le cabinet A alimentent un modèle qui sera ensuite utilisé par le cabinet B, on entre dans une zone de risque en matière de confidentialité. Les retours terrain divergent sur ce point : certains éditeurs affirment cloisonner strictement les données par client, d’autres restent flous sur leurs pratiques d’entraînement.

Les questions à poser à l’éditeur

  • Les données comptables du cabinet sont-elles utilisées pour entraîner ou améliorer les modèles d’IA ? Si oui, sous quelle forme (anonymisée, agrégée, brute) ?
  • Existe-t-il une option de refus du réapprentissage (opt-out), et cette option est-elle documentée contractuellement ?
  • Quelle base légale au sens du RGPD justifie le traitement par IA des pièces comptables confiées par les clients du cabinet ?

Un éditeur qui refuse de répondre clairement à ces trois questions pose un problème. L’absence de documentation sur le traitement IA est un signal d’alerte, pas un détail secondaire.

Preuves de sécurité exigées par les clients : audit, certifications et engagements contractuels

La pression ne vient plus seulement des régulateurs. Selon plusieurs retours relayés dans la presse professionnelle, les directions financières et les DAF demandent de plus en plus souvent à leur cabinet comptable des preuves concrètes de sécurité sur les outils utilisés.

Ces demandes prennent des formes variées : certification ISO 27001 du prestataire, rapports d’audit, attestations de sauvegarde. Un cabinet qui utilise Ami Compta doit donc vérifier ce que l’éditeur peut fournir comme documentation opposable, et pas simplement une page marketing mentionnant la « sécurité de niveau bancaire ».

Certification et audit : distinguer le marketing de la preuve

Une certification ISO 27001 couvre le système de management de la sécurité de l’information. Elle ne garantit pas l’absence de faille, mais elle atteste d’un processus structuré. Un rapport d’audit indépendant a plus de valeur qu’une auto-déclaration sur une page web.

Les données disponibles ne permettent pas de confirmer si Ami Compta dispose actuellement d’une telle certification. C’est précisément le type d’information qu’un cabinet doit demander par écrit avant de s’engager, et conserver dans son dossier de conformité.

  • Demander une copie du dernier rapport d’audit de sécurité ou, à défaut, le périmètre exact couvert par les certifications revendiquées
  • Vérifier la politique de sauvegarde : fréquence, localisation des sauvegardes, procédure de restauration testée
  • S’assurer que le contrat prévoit une clause de réversibilité permettant de récupérer l’intégralité des données dans un format exploitable en cas de changement d’outil
  • Confirmer l’existence d’un plan de continuité d’activité (PCA) documenté chez l’éditeur

Deux comptables collaborant sur un audit de sécurité des données dans une salle de réunion de cabinet comptable

Responsabilité du cabinet : ce qu’Ami Compta ne couvre pas

Même avec un éditeur irréprochable, la responsabilité finale vis-à-vis des clients reste celle du cabinet. Le sous-traitant (l’éditeur logiciel) agit sur instruction du responsable de traitement (le cabinet). Cette distinction RGPD a des conséquences pratiques directes.

Le cabinet doit tenir un registre des traitements incluant Ami Compta comme sous-traitant, avec la description des données transmises et les garanties obtenues. En cas de violation de données, c’est le cabinet qui notifie la CNIL et informe ses clients, pas l’éditeur.

La gestion des accès internes constitue un autre angle mort fréquent. Combien de collaborateurs ont accès à l’outil ? Les droits sont-ils segmentés par dossier client ? Un accès trop large à Ami Compta multiplie la surface d’exposition en cas de compromission d’un compte utilisateur.

Le sujet de la sécurité des données avec Ami Compta ne se résume pas à la fiabilité technique de l’éditeur. Il engage le cabinet sur sa capacité à documenter ses choix, à poser les bonnes questions contractuelles et à maintenir une hygiène d’accès rigoureuse. Les cabinets qui traitent cette vérification comme une formalité administrative s’exposent à des situations difficiles le jour où un client, un commissaire aux comptes ou la CNIL demandera des comptes.

Ne ratez rien de l'actu

Recherche

Les immanquables

Au top