MISSION WEBTRUST
1
SOMMAIRE
Pages
Introduction ............................................................................................................2
Rappel du contexte ............................................................................................……2
Nature de l’assurance et place de la mission WebTrust dans
le cadre conceptuel des missions normalisées de l’expert-comptable ……………2
Conditions de la mission..........................................................................................3
Acceptation de la mission..................................................................................…3
Obligations de l’entité .......................................................................................…4
Planification de la mission.................................................................................…4
Diligences ..........................................................................................................…5
Missions ultérieures ..........................................................................................……7
Documentation …………………………………………………………………… 7
Liens avec d’autres missions .............................................................................…7
Conclusion et rapport........................................................................................….8
Transmission d’informations au gestionnaire du sceau....................................….9
Modèles de rapports
M1 : Rapport de l’expert-comptable (opinion favorable)
M2 : Rapport de l’expert-comptable (opinion défavorable)
MISSION WEBTRUST
2
INTRODUCTION
1- La présente norme a pour objet de définir des principes fondamentaux et de préciser
leurs modalités d’application relatifs à la mission de l’expert-comptable à qui il est
demandé d’émettre un rapport en vue de l’obtention par une entité du sceau WebTrust.
2- La mission d’audit de l’expert-comptable, effectuée en vue d’émettre un rapport
permettant l’obtention par l’entité du sceau WebTrust sur son site de commerce
électronique , a pour objectif d’apprécier la sincérité de la déclaration faite par
l’entité portant sur la description de ses pratiques en matière de commerce
électronique et sur leur conformité avec les principes et critères WebTrust 1 relatifs
à :
- la transparence des pratiques en matière de commerce électronique et de
confidentialité de l’information,
- l’intégrité des transactions,
- la protection des informations.
RAPPEL DU CONTEXTE
3- Le commerce électronique couvre un ensemble d’opérations commerciales réalisées de
manière électronique, sans document papier, à l’aide d’ordinateurs et de réseaux de
télécommunication.
Les entités qui souhaitent pouvoir afficher le sceau « WEBTRUST » sur leur site de
commerce électronique, visent à conforter la confiance des consommateurs, en les
informant qu’elles appliquent certains principes contribuant à réduire les risques liés au
commerce électronique.
NATURE DE L’ASSURANCE ET PLACE DE LA MISSION WEBTRUST DANS LE CADRE
CONCEPTUEL DES MISSIONS NORMALISEES DE L’EXPERT-COMPTABLE
4- La mission WebTrust se fonde sur une information déclarative de l’entité affirmant
qu’elle respecte bien les principes WebTrust (transparence des pratiques en matière de
commerce et de confidentialité de l’information, intégrité des transactions, protection de
l’information). Elle nécessite ainsi une vérification des procédures de l’entité en matière
de commerce électronique. Cette mission se classe dans le cadre conceptuel parmi les
« missions d’audit des informations non financières ».
1 Les principes et critères WebTrust pour le commerce électronique auxquels fait référence la présente norme
sont ceux définis dans la version 2.0, datée du 15 octobre 1999, publiés par l’AICPA-ICCA. Il appartient à
l’expert-comptable de veiller aux révisions susceptibles d’être publiées concernant le contenu de ces principes et
critères et d’en tenir compte dans la mise en oeuvre de ses diligences.
MISSION WEBTRUST
3
5- Elle vise à obtenir une assurance raisonnable sur la conformité des procédures de l’entité
aux principes et critères WebTrust afin de pouvoir conforter la crédibilité de
l’affirmation faite à cet égard par l’entité.
6- L’assurance obtenue par l’expert-comptable est exprimée sous une forme adaptée aux
objectifs de la mission (procédures garantissant la transparence des pratiques, l’intégrité
des transactions et la protection de l’information). L’assurance raisonnable obtenue
justifie la formulation de l’opinion de l’expert-comptable sous une forme positive,
portant sur tous les aspects significatifs des procédures de l’entité en matière de
commerce électronique.
CONDITIONS DE LA MISSION
7- L’expert-comptable, respecte les normes générales qui gouvernent son
comportement professionnel, notamment en termes d’indépendance, de
compétence et de secret professionnel.
8- S’agissant d’une mission qui requiert une expertise technique particulière, la
compétence de l’expert-comptable revêt un caractère essentiel au regard de l’acceptation
et du maintien de cette mission. Il doit notamment avoir suivi la formation nécessaire
pour pouvoir être inscrit sur la liste des professionnels habilités à effectuer cette
mission2.
9- L’expert-comptable est conduit à se prononcer sur l’affirmation faite par l’entité qu’elle
respecte bien les principes et critères WebTrust : il n’est donc pas un dispensateur direct
d’informations. L’expert-comptable veille à ce que ses relations avec le gestionnaire du
sceau restent compatibles avec son obligation de secret professionnel.
ACCEPTATION DE LA MISSION
10- Après avoir apprécié la possibilité d’accepter la mission qui lui est demandée par
l’entité, il appartient à l’expert-comptable de formaliser par écrit son acceptation
et les conditions de réalisation de celle-ci.
11- De manière à éviter toute ambiguïté sur la responsabilité qu’il prend, l’expert-comptable
peut se référer à l’exemple de lettre figurant en annexe au contrat de licence souscrit
auprès de WebTrust France.
12- Dans tous les cas, il appartient à l’expert-comptable de rappeler les modalités convenues
en matière de transmission d’informations au gestionnaire du sceau (cf. paragraphes 40
et 41).
2 L’inscription sur cette liste exige par ailleurs la souscription d’une licence auprès de WebTrust France,
association constituée entre l’Ordre des experts comptables et la Compagnie nationale des commissaires aux
comptes.
MISSION WEBTRUST
4
13- Compte tenu de l’importance de ces éléments, il apparaît nécessaire que la direction
confirme son accord, par exemple en retournant à l’expert-comptable un exemplaire
signé de sa lettre.
OBLIGATIONS DE L’ENTITE
14- La déclaration faite par la direction de l’entité et sur laquelle porte l’opinion de l’expertcomptable
vise, conformément aux principes et critères WebTrust3 à :
· décrire les pratiques qu’elle a adoptées en matière de commerce et de confidentialité
de l’information relatives au commerce électronique et indique qu’elle effectue ses
opérations conformément à ces pratiques (principe de transparence des pratiques en
matière de commerce et de confidentialité de l’information) ;
· informer qu’elle a mis en place des contrôles efficaces de nature à procurer
l’assurance que les opérations conclues avec le client par la voie du commerce
électronique sont traitées et facturées comme convenu (principe d’intégrité des
transactions) ;
· confirmer qu’elle a mis en place des contrôles efficaces de nature à procurer
l’assurance que les renseignements personnels du client obtenus dans le cadre d’une
opération de commerce électronique sont protégés contre toute utilisation étrangère
aux activités de l’entité (principe de protection des informations).
15- Cette déclaration qui figure sur le site de commerce électronique de l’entité est faite
également sur un support écrit de manière à ce que l’expert-comptable puisse en
conserver un exemplaire dans son dossier et l’annexer à son rapport écrit (cf. paragraphe
34).
16- Pour que la déclaration soit fondée, la direction de l’entité doit s’être dotée d’un système
de contrôle interne approprié pour ses opérations de commerce électronique.
PLANIFICATION DE LA MISSION DE L’EXPERT-COMPTABLE
17- L’expert-comptable planifie et conduit sa mission en faisant preuve d’esprit
critique et en étant conscient que certaines situations peuvent conduire à des
anomalies significatives dans la déclaration de la direction
18- La détermination, par l’expert-comptable, de l’étendue et de la fréquence de ses
missions ainsi que de la nature de ses travaux, nécessite de prendre en compte :
· la nature et la complexité des activités poursuivies par l’entité,
· les caractéristiques de son site Web et en particulier les changements qui y sont
apportés, la rapidité de ses évolutions et son dynamisme ;
3 Les principes et critères WebTrust pour le commerce électronique auxquels fait référence la présente norme
sont ceux définis dans la version 2.0, datée du 15 octobre 1999, publiés par l’AICPA-ICCA.
MISSION WEBTRUST
5
· les risques spécifiques attachés à chacun des critères qui définissent chacun des
principes WebTrust.
19- Dans le cadre de la planification de ses missions ultérieures (au moins tous les trois
mois), l’expert-comptable prend également en compte l’efficacité de l’environnement
général de contrôle qu’il a été conduit à apprécier lors de sa vérification initiale.
DILIGENCES
20- Afin de répondre à l’objectif d’assurance raisonnable, l’expert-comptable réunit
des éléments probants suffisants et appropriés justifiant la déclaration faite par la
direction sur la conformité des procédures de l’entité aux principes et critères
WebTrust.
21- Pour réunir ces éléments probants sur lesquels se fonde l’opinion de l’expertcomptable,
celui-ci met en oeuvre des diligences qui comportent essentiellement,
pour chacun des principes WebTrust (transparence des pratiques en matière de
commerce et de confidentialité de l’information, intégrité des transactions,
protection des informations) :
· une prise de connaissance des pratiques et système de contrôles internes relatifs
aux opérations de commerce électronique réalisées par l’entité,
· la réalisation de tests pour vérifier la conformité des opérations effectuées avec
les pratiques commerciales indiquées,
· la mise en oeuvre de sondages pour vérifier l’efficacité du fonctionnement des
contrôles mis en place.
22- Les critères WebTrust qui explicitent de manière détaillée le contenu de chacun des
principes WebTrust constituent le référentiel par rapport auquel l’expert-comptable
définit, organise ses contrôles et fonde son avis.
23- La vérification du respect du principe attaché à la transparence des pratiques en matière
de commerce et de confidentialité de l’information nécessite d’apprécier, au regard des
critères WebTrust qui lui sont attachés, le caractère pertinent des informations
présentées sur le site nécessaires à une transaction, ainsi que le respect des pratiques
annoncées.
Lors de la phase de prise de connaissance des informations mises à la disposition des
utilisateurs du site, l’expert-comptable vérifie notamment que :
· les informations nécessaires aux transactions sont présentes (description des biens et
services proposés, conditions générales de ventes, description du service après vente,
voies de recours offertes, …),
· les pratiques adoptées en ce qui concerne l’utilisation, la protection et la conservation
des renseignements des clients sont indiquées,
MISSION WEBTRUST
6
· l’ensemble de ces informations est aisément accessible.
Les tests de conformité et les sondages mis en oeuvre par l’expert-comptable ont pour
but de vérifier que, sur une période minimale de trois mois :
· l’entité avait en place un environnement de contrôle, et notamment des procédures de
surveillance, permettant d’assurer que les pratiques indiquées en matière de
commerce et de confidentialité de l’information sont toujours suivies et que ses
contrôles sont efficaces,
· ses contrôles ont fonctionné efficacement,
· elle a réellement effectué ses opérations conformément aux pratiques de commerce
électronique indiquées.
24- La vérification du respect du principe d’intégrité des transactions nécessite d’apprécier,
au regard des critères WebTrust qui lui sont attachés, les procédures de vente et de
vérifier notamment que la livraison est conforme à la commande, que la facturation est
conforme à la livraison et que le règlement est conforme à la facturation et, qu’en cas de
non-conformité, les anomalies sont traitées rapidement et des mesures correctives prises.
L’expert-comptable prend connaissance des contrôles mis en place par l’entité afin
d’assurer que les commandes passées par les clients sont traitées et facturées comme
convenu.
Il met en oeuvre les tests et les sondages nécessaires afin de vérifier notamment que :
· la conception de ces contrôles permet de réduire les risques potentiels pour les clients
à un niveau acceptable ;
· ces contrôles sont appliqués correctement et de manière systématique tout au long de
la période vérifiée.
25- La vérification du respect du principe de protection des informations nécessite
d’apprécier, au regard des critères WebTrust qui lui sont attachés, la qualité des
systèmes et des procédures mis en oeuvre à l’occasion de la transmission des
informations attachées aux règlements des clients ainsi que les procédures de
conservation des données personnelles concernant les clients.
L’expert-comptable prend connaissance du dispositif de protection des informations
existant. Un tel dispositif doit comporter notamment :
· des solutions techniques visant à assurer la sécurité des paiements électroniques,
· des protections logiques assurées par des mots de passe,
· des procédures de protection d’accès aux fichiers, tant de l’intérieur que de
l’extérieur de l’entité.
MISSION WEBTRUST
7
L’expert-comptable met en oeuvre les tests et les sondages nécessaires afin de vérifier
que le système en place permet de protéger les fichiers de l’entité contre toute intrusion
extérieure ou intérieure et que les dispositifs de protection fonctionnent efficacement.
MISSIONS ULTERIEURES
26- Les diligences de l’expert-comptable, dans le cadre de ses missions ultérieures à la
vérification initiale, comportent :
· dans le cas où l’expert-comptable intervient à la suite de modifications apportées par
l’entité, l’appréciation des conséquences de ces modifications sur l’ensemble du
système et l’adaptation de ses diligences en fonction de ses constatations ;
· dans le cas où il intervient alors qu’aucune modification ne lui a été signalée (en tout
état de cause, au moins tous les trois mois), la vérification que les procédures
identifiées précédemment continuent de fonctionner de manière satisfaisante.
DOCUMENTATION
27- L’expert-comptable documente dans ses dossiers de travail les éléments importants
sur lesquels se fonde son opinion et qui permettent de justifier que ses travaux ont
été effectués selon la présente norme.
LIENS AVEC D’AUTRES MISSIONS
28- S’agissant d’une mission contractuelle spécifique, celle-ci peut avoir des conséquences
directes sur les autres missions normalisées relatives notamment aux comptes de l’entité.
Il appartient ainsi à l’expert-comptable, notamment au cas où il a relevé des anomalies
dans le cadre de sa mission WebTrust, de tirer les conséquences éventuelles sur
l’orientation et la planification des missions d’attestation des informations financières
relatives à l’entité.
29- Si l’expert-comptable relève, dans le cadre d’une autre mission, des faits de nature à
compromettre la continuité de l’exploitation, il en tire les conséquences éventuelles sur
son rapport WebTrust.
30- De même, si l’expert-comptable est conduit à émettre une opinion avec réserve ou une
opinion défavorable sur les comptes de l’entité, ou à refuser d’émettre une opinion, il en
tire les conséquences appropriées sur son rapport WebTrust.
31- Dans les situations évoquées aux deux paragraphes précédents, l’expert-comptable
détermine également s’il convient de mettre un terme à sa mission WebTrust.
MISSION WEBTRUST
8
CONCLUSION ET RAPPORT
32- Sur la base des travaux effectués, l’expert-comptable évalue si les éléments
probants recueillis lors de ses vérifications lui permettent de fonder son opinion.
33- L’expert-comptable établit un rapport à l’issue de chaque période couverte par ses
vérifications, conformément aux modèles annexés ci-après, dans lequel il donne son
opinion sur la déclaration de la direction de l’entité.
34- Le rapport de l’expert-comptable établi sur support papier comprend, en annexe, la
déclaration écrite de l’entité.
Le rapport de l’expert-comptable lié au sceau webTrust affiché sur le site de commerce
électronique de l’entité comporte un lien hypertexte avec la déclaration de l’entité.
35- Le rapport comporte les mentions obligatoires caractérisant tout rapport émis par
l’expert-comptable, généralement présentés ainsi :
(a) un intitulé,
(b) le destinataire du rapport,
(c) un paragraphe d’introduction comportant :
(i) l’identification de l’entité,
(ii) le cadre da ns lequel se situe sa mission.
(iii) sa responsabilité et celles des dirigeants.
(d) un paragraphe sur la nature et les objectifs de la mission comportant un
rappel des normes concernées de la profession et des vérifications effectuées,
(e) une conclusion exprimée sous forme adaptée à sa mission,
(f) la date du rapport,
(g) l’adresse et l’identification du (des) signataire (s) du rapport.
36- Le rapport précise également :
· les limites inhérentes au fonctionnement de toute procédure et de tout système de
contrôles et à l’utilisation des techniques de sondages ;
· la signification du sceau WebTrust et l’exclusion expresse, en conséquence, d’une
quelconque assurance sur la qualité des produits ou des services proposés, leur
adéquation par rapport aux besoins du consommateur, ainsi que sur la continuité de
l’exploitation de l’entité.
37- L’expert-comptable exprime une opinion favorable en l’absence d’anomalies
significatives relevées dans la déclaration de la direction au regard de ses pratiques
en matière de commerce électronique et de leur conformité avec les principes et
critères WebTrust.
MISSION WEBTRUST
9
38- Lorsque l’expert-comptable relève des anomalies significatives dans le respect par
l’entité des principes et critères WebTrust, il en fait état dans son rapport et
exprime une opinion défavorable en précisant que l’entité ne peut donc pas
afficher le sceau WebTrust sur son site de commerce électronique.
TRANSMISSION D’INFORMATIONS AU GESTIONNAIRE DU SCEAU
39- Le sceau constitue la représentation symbolique d’un rapport avec un avis favorable et
informe l’utilisateur que le site de commerce électronique de l’entité répond aux
principes et critères WEBTRUST. Il est géré par un prestataire technique indépendant
de l’expert-comptable et de l’entité, dénommé gestionnaire du sceau.
Le gestionnaire du sceau, réalise les opérations d’affichage et de retrait du sceau à partir
des informations reçues.
40- Lorsque l’expert-comptable délivre un rapport avec une opinion favorable, il l'adresse à
l’entité et en délivre simultanément une copie au gestionnaire du sceau.
41- Lorsque l’expert-comptable n’est plus en mesure de délivrer un rapport avec une
opinion favorable, il en informe les dirigeants de l’entité par lettre, accompagnée du
rapport qui explicite les manquements au respect des principes WEBTRUST, et leur
rappelle la nécessité de demander au gestionnaire du sceau le retrait de ce dernier. Il
adresse simultanément au gestionnaire du sceau une copie de la lettre d’accompagnement
du rapport précité, l’informant ainsi de la nécessité de retirer le sceau.
MISSION WEBTRUST
10
MODELES DE RAPPORTS
M1 - Rapport de l’expert-comptable (opinion favorable)
Comme suite à la mission qui nous a été confiée par……………(1)….., nous avons vérifié la
déclaration selon laquelle, sur son site Web consacré au commerce électronique (à
WWW.ABC.COM), pour la période allant du …au …, ………..…(1)…a, conformément
aux principes et critères WebTrust [lien hypertexte] :
· indiqué ses pratiques en matière de commerce électronique et effectué ses opérations
conformément à ces pratiques,
· mis en place des contrôles efficaces de nature à procurer l’assurance que :
- les commandes passées par les clients par la voie du commerce électronique ont été
traitées et facturées comme convenu,
- les renseignements personnels concernant les clients, obtenus dans le cadre des
opérations de commerce électronique, ont été protégés contre toute utilisation
étrangère aux activités de …(1) ….
La responsabilité de cette déclaration, telle que jointe au présent rapport, incombe à…(2)…
[lien hypertexte]. Il nous appartient, sur la base de nos travaux, de donner notre opinion sur la
sincérité de cette déclaration.
Notre vérification a été effectuée conformément aux normes de la profession. Celles-ci
requièrent que cette vérification soit planifiée et exécutée de manière à obtenir l’assurance
raisonnable que la déclaration de …(2)… ne comporte pas d’anomalies significatives. Notre
vérification a comporté notamment une prise de connaissance des pratiques de …(1)… en
matière de commerce électronique, de ses contrôles sur le traitement des opérations ainsi
réalisées et sur la protection des renseignements personnels concernant les clients, ainsi que la
mise en oeuvre de sondages pour vérifier la conformité des opérations effectuées avec les
pratiques commerciales indiquées et l’efficacité du fonctionnement des contrôles mis en place.
Nous estimons que notre vérification fournit une base raisonnable à l’opinion exprimée ciaprès.
A notre avis, la déclaration de (2)…… de (1)……, pour la période du … au …, présente
sincèrement, dans tous leurs aspects significatifs, les pratiques de …(1)… en matière de
commerce électronique et leur conformité avec les principes et critères Webtrust.
Compte tenu des limites inhérentes au fonctionnement de toute procédure et de tout système
de contrôles et à l’utilisation des techniques de sondages, il est possible que des anomalies se
soient produites sans être détectées. En outre, toute projection des résultats d’une évaluation
des contrôles à des périodes futures présente un risque, puisqu’il est possible que ceux-ci
deviennent inadéquats en raison de nouvelles circonstances ou que leur degré de conformité
aux procédures diminue.
(1) Indiquer le nom de l’entité concernée
(2) Préciser la personne ou l’organe de direction compétent.
MISSION WEBTRUST
11
Le sceau WebTrust affiché sur le site Web de commerce électronique de …(1)… constitue la
représentation symbolique du contenu du présent rapport mais n’a pas pour objet, ni ne doit
être interprété comme ayant pour objet, d’actualiser ce rapport ou de fournir une quelconque
assurance additionnelle portant notamment sur la continuité de l’exploitation de …(1)…, sur la
qualité des biens et des services proposés par …(1)… ou sur leur adéquation aux attentes du
consommateur.
Lieu
Date
Signature
________________________
(1) Indiquer le nom de l’entité concernée.
MISSION WEBTRUST
12
M2 - Rapport de l’expert-comptable (opinion défavorable)
Comme suite à la mission qui nous a été confiée par ………….(1)…., nous avons vérifié la
déclaration selon laquelle, sur son site Web consacré au commerce électronique (à
WWW.ABC.COM), pour la période allant du …au …, ……………(1)… a, conformément
aux principes et critères WebTrust [lien hypertexte] :
· indiqué ses pratiques en matière de commerce électronique et effectué ses opérations
conformément à ces pratiques,
· mis en place des contrôles efficaces de nature à procurer une assurance raisonnable que :
- les commandes passées par les clients par la voie du commerce électronique ont été
traitées et facturées comme convenu,
- les renseignements personnels concernant les clients, obtenus dans le cadre des
opérations de commerce électronique ont été protégés contre toute utilisation étrangère
aux activités de …(1)….
La responsabilité de cette déclaration, telle que jointe au présent rapport, incombe à…(2)…
[lien hypertexte]. Il nous appartient, sur la base de nos travaux, de donner notre opinion sur la
sincérité de cette déclaration.
Notre vérification a été effectuée conformément aux normes de la profession. Celles-ci
requièrent que cette vérification soit planifiée et exécutée de manière à obtenir l’assurance
raisonnable que la déclaration de …(2)… ne comporte pas d’anomalies significatives. Notre
vérification a comporté notamment une prise de connaissance des pratiques de …(1)… en
matière de commerce électronique, de ses contrôles sur le traitement des opérations ainsi
réalisées et sur la protection des renseignements personnels concernant les clients, ainsi que la
mise en oeuvre de sondages pour vérifier la conformité des opérations effectuées avec les
pratiques commerciales indiquées et l’efficacité du fonctionnement des contrôles mis en place.
Nous estimons que notre vérification fournit une base raisonnable à l’opinion exprimée ciaprès.
Sur la base des travaux effectués, nous avons relevé les anomalies suivantes dans le respect
des principes et critères WebTrust :
(Indication et description des anomalies)
______________________
(1) Indiquer le nom de l’entité concernée.
(2) Préciser la personne ou l’organe de direction compétent.
MISSION WEBTRUST
13
En raison des faits exposés ci-dessus, nous sommes d’avis que la déclaration de …(2)… de
…(1)… pour la période du … au …, ne présente pas sincèrement, dans tous leurs aspects
significatifs, les pratiques de …(1)… en matière de commerce électronique qui n’apparaissent
pas conformes aux principes et critères WebTrust . L’entité …(1)… ne peut donc pas afficher
le sceau WebTrust sur son site de commerce électronique.
Lieu
Date
Signature
________________________
(1) Indiquer le nom de l’entité concernée.
(2) Préciser la personne ou l’organe de direction compétent.
Recommandations
1
SOMMAIRE
Pages
Introduction ............................................................................................................2
Rappel du contexte ............................................................................................……2
Nature de l’assurance et place de la mission WebTrust dans
le cadre conceptuel des missions normalisées de l’expert-comptable ……………2
Conditions de la mission..........................................................................................3
Acceptation de la mission..................................................................................…3
Obligations de l’entité .......................................................................................…4
Planification de la mission.................................................................................…4
Diligences ..........................................................................................................…5
Missions ultérieures ..........................................................................................……7
Documentation …………………………………………………………………… 7
Liens avec d’autres missions .............................................................................…7
Conclusion et rapport........................................................................................….8
Transmission d’informations au gestionnaire du sceau....................................….9
Modèles de rapports
M1 : Rapport de l’expert-comptable (opinion favorable)
M2 : Rapport de l’expert-comptable (opinion défavorable)
MISSION WEBTRUST
2
INTRODUCTION
1- La présente norme a pour objet de définir des principes fondamentaux et de préciser
leurs modalités d’application relatifs à la mission de l’expert-comptable à qui il est
demandé d’émettre un rapport en vue de l’obtention par une entité du sceau WebTrust.
2- La mission d’audit de l’expert-comptable, effectuée en vue d’émettre un rapport
permettant l’obtention par l’entité du sceau WebTrust sur son site de commerce
électronique , a pour objectif d’apprécier la sincérité de la déclaration faite par
l’entité portant sur la description de ses pratiques en matière de commerce
électronique et sur leur conformité avec les principes et critères WebTrust 1 relatifs
à :
- la transparence des pratiques en matière de commerce électronique et de
confidentialité de l’information,
- l’intégrité des transactions,
- la protection des informations.
RAPPEL DU CONTEXTE
3- Le commerce électronique couvre un ensemble d’opérations commerciales réalisées de
manière électronique, sans document papier, à l’aide d’ordinateurs et de réseaux de
télécommunication.
Les entités qui souhaitent pouvoir afficher le sceau « WEBTRUST » sur leur site de
commerce électronique, visent à conforter la confiance des consommateurs, en les
informant qu’elles appliquent certains principes contribuant à réduire les risques liés au
commerce électronique.
NATURE DE L’ASSURANCE ET PLACE DE LA MISSION WEBTRUST DANS LE CADRE
CONCEPTUEL DES MISSIONS NORMALISEES DE L’EXPERT-COMPTABLE
4- La mission WebTrust se fonde sur une information déclarative de l’entité affirmant
qu’elle respecte bien les principes WebTrust (transparence des pratiques en matière de
commerce et de confidentialité de l’information, intégrité des transactions, protection de
l’information). Elle nécessite ainsi une vérification des procédures de l’entité en matière
de commerce électronique. Cette mission se classe dans le cadre conceptuel parmi les
« missions d’audit des informations non financières ».
1 Les principes et critères WebTrust pour le commerce électronique auxquels fait référence la présente norme
sont ceux définis dans la version 2.0, datée du 15 octobre 1999, publiés par l’AICPA-ICCA. Il appartient à
l’expert-comptable de veiller aux révisions susceptibles d’être publiées concernant le contenu de ces principes et
critères et d’en tenir compte dans la mise en oeuvre de ses diligences.
MISSION WEBTRUST
3
5- Elle vise à obtenir une assurance raisonnable sur la conformité des procédures de l’entité
aux principes et critères WebTrust afin de pouvoir conforter la crédibilité de
l’affirmation faite à cet égard par l’entité.
6- L’assurance obtenue par l’expert-comptable est exprimée sous une forme adaptée aux
objectifs de la mission (procédures garantissant la transparence des pratiques, l’intégrité
des transactions et la protection de l’information). L’assurance raisonnable obtenue
justifie la formulation de l’opinion de l’expert-comptable sous une forme positive,
portant sur tous les aspects significatifs des procédures de l’entité en matière de
commerce électronique.
CONDITIONS DE LA MISSION
7- L’expert-comptable, respecte les normes générales qui gouvernent son
comportement professionnel, notamment en termes d’indépendance, de
compétence et de secret professionnel.
8- S’agissant d’une mission qui requiert une expertise technique particulière, la
compétence de l’expert-comptable revêt un caractère essentiel au regard de l’acceptation
et du maintien de cette mission. Il doit notamment avoir suivi la formation nécessaire
pour pouvoir être inscrit sur la liste des professionnels habilités à effectuer cette
mission2.
9- L’expert-comptable est conduit à se prononcer sur l’affirmation faite par l’entité qu’elle
respecte bien les principes et critères WebTrust : il n’est donc pas un dispensateur direct
d’informations. L’expert-comptable veille à ce que ses relations avec le gestionnaire du
sceau restent compatibles avec son obligation de secret professionnel.
ACCEPTATION DE LA MISSION
10- Après avoir apprécié la possibilité d’accepter la mission qui lui est demandée par
l’entité, il appartient à l’expert-comptable de formaliser par écrit son acceptation
et les conditions de réalisation de celle-ci.
11- De manière à éviter toute ambiguïté sur la responsabilité qu’il prend, l’expert-comptable
peut se référer à l’exemple de lettre figurant en annexe au contrat de licence souscrit
auprès de WebTrust France.
12- Dans tous les cas, il appartient à l’expert-comptable de rappeler les modalités convenues
en matière de transmission d’informations au gestionnaire du sceau (cf. paragraphes 40
et 41).
2 L’inscription sur cette liste exige par ailleurs la souscription d’une licence auprès de WebTrust France,
association constituée entre l’Ordre des experts comptables et la Compagnie nationale des commissaires aux
comptes.
MISSION WEBTRUST
4
13- Compte tenu de l’importance de ces éléments, il apparaît nécessaire que la direction
confirme son accord, par exemple en retournant à l’expert-comptable un exemplaire
signé de sa lettre.
OBLIGATIONS DE L’ENTITE
14- La déclaration faite par la direction de l’entité et sur laquelle porte l’opinion de l’expertcomptable
vise, conformément aux principes et critères WebTrust3 à :
· décrire les pratiques qu’elle a adoptées en matière de commerce et de confidentialité
de l’information relatives au commerce électronique et indique qu’elle effectue ses
opérations conformément à ces pratiques (principe de transparence des pratiques en
matière de commerce et de confidentialité de l’information) ;
· informer qu’elle a mis en place des contrôles efficaces de nature à procurer
l’assurance que les opérations conclues avec le client par la voie du commerce
électronique sont traitées et facturées comme convenu (principe d’intégrité des
transactions) ;
· confirmer qu’elle a mis en place des contrôles efficaces de nature à procurer
l’assurance que les renseignements personnels du client obtenus dans le cadre d’une
opération de commerce électronique sont protégés contre toute utilisation étrangère
aux activités de l’entité (principe de protection des informations).
15- Cette déclaration qui figure sur le site de commerce électronique de l’entité est faite
également sur un support écrit de manière à ce que l’expert-comptable puisse en
conserver un exemplaire dans son dossier et l’annexer à son rapport écrit (cf. paragraphe
34).
16- Pour que la déclaration soit fondée, la direction de l’entité doit s’être dotée d’un système
de contrôle interne approprié pour ses opérations de commerce électronique.
PLANIFICATION DE LA MISSION DE L’EXPERT-COMPTABLE
17- L’expert-comptable planifie et conduit sa mission en faisant preuve d’esprit
critique et en étant conscient que certaines situations peuvent conduire à des
anomalies significatives dans la déclaration de la direction
18- La détermination, par l’expert-comptable, de l’étendue et de la fréquence de ses
missions ainsi que de la nature de ses travaux, nécessite de prendre en compte :
· la nature et la complexité des activités poursuivies par l’entité,
· les caractéristiques de son site Web et en particulier les changements qui y sont
apportés, la rapidité de ses évolutions et son dynamisme ;
3 Les principes et critères WebTrust pour le commerce électronique auxquels fait référence la présente norme
sont ceux définis dans la version 2.0, datée du 15 octobre 1999, publiés par l’AICPA-ICCA.
MISSION WEBTRUST
5
· les risques spécifiques attachés à chacun des critères qui définissent chacun des
principes WebTrust.
19- Dans le cadre de la planification de ses missions ultérieures (au moins tous les trois
mois), l’expert-comptable prend également en compte l’efficacité de l’environnement
général de contrôle qu’il a été conduit à apprécier lors de sa vérification initiale.
DILIGENCES
20- Afin de répondre à l’objectif d’assurance raisonnable, l’expert-comptable réunit
des éléments probants suffisants et appropriés justifiant la déclaration faite par la
direction sur la conformité des procédures de l’entité aux principes et critères
WebTrust.
21- Pour réunir ces éléments probants sur lesquels se fonde l’opinion de l’expertcomptable,
celui-ci met en oeuvre des diligences qui comportent essentiellement,
pour chacun des principes WebTrust (transparence des pratiques en matière de
commerce et de confidentialité de l’information, intégrité des transactions,
protection des informations) :
· une prise de connaissance des pratiques et système de contrôles internes relatifs
aux opérations de commerce électronique réalisées par l’entité,
· la réalisation de tests pour vérifier la conformité des opérations effectuées avec
les pratiques commerciales indiquées,
· la mise en oeuvre de sondages pour vérifier l’efficacité du fonctionnement des
contrôles mis en place.
22- Les critères WebTrust qui explicitent de manière détaillée le contenu de chacun des
principes WebTrust constituent le référentiel par rapport auquel l’expert-comptable
définit, organise ses contrôles et fonde son avis.
23- La vérification du respect du principe attaché à la transparence des pratiques en matière
de commerce et de confidentialité de l’information nécessite d’apprécier, au regard des
critères WebTrust qui lui sont attachés, le caractère pertinent des informations
présentées sur le site nécessaires à une transaction, ainsi que le respect des pratiques
annoncées.
Lors de la phase de prise de connaissance des informations mises à la disposition des
utilisateurs du site, l’expert-comptable vérifie notamment que :
· les informations nécessaires aux transactions sont présentes (description des biens et
services proposés, conditions générales de ventes, description du service après vente,
voies de recours offertes, …),
· les pratiques adoptées en ce qui concerne l’utilisation, la protection et la conservation
des renseignements des clients sont indiquées,
MISSION WEBTRUST
6
· l’ensemble de ces informations est aisément accessible.
Les tests de conformité et les sondages mis en oeuvre par l’expert-comptable ont pour
but de vérifier que, sur une période minimale de trois mois :
· l’entité avait en place un environnement de contrôle, et notamment des procédures de
surveillance, permettant d’assurer que les pratiques indiquées en matière de
commerce et de confidentialité de l’information sont toujours suivies et que ses
contrôles sont efficaces,
· ses contrôles ont fonctionné efficacement,
· elle a réellement effectué ses opérations conformément aux pratiques de commerce
électronique indiquées.
24- La vérification du respect du principe d’intégrité des transactions nécessite d’apprécier,
au regard des critères WebTrust qui lui sont attachés, les procédures de vente et de
vérifier notamment que la livraison est conforme à la commande, que la facturation est
conforme à la livraison et que le règlement est conforme à la facturation et, qu’en cas de
non-conformité, les anomalies sont traitées rapidement et des mesures correctives prises.
L’expert-comptable prend connaissance des contrôles mis en place par l’entité afin
d’assurer que les commandes passées par les clients sont traitées et facturées comme
convenu.
Il met en oeuvre les tests et les sondages nécessaires afin de vérifier notamment que :
· la conception de ces contrôles permet de réduire les risques potentiels pour les clients
à un niveau acceptable ;
· ces contrôles sont appliqués correctement et de manière systématique tout au long de
la période vérifiée.
25- La vérification du respect du principe de protection des informations nécessite
d’apprécier, au regard des critères WebTrust qui lui sont attachés, la qualité des
systèmes et des procédures mis en oeuvre à l’occasion de la transmission des
informations attachées aux règlements des clients ainsi que les procédures de
conservation des données personnelles concernant les clients.
L’expert-comptable prend connaissance du dispositif de protection des informations
existant. Un tel dispositif doit comporter notamment :
· des solutions techniques visant à assurer la sécurité des paiements électroniques,
· des protections logiques assurées par des mots de passe,
· des procédures de protection d’accès aux fichiers, tant de l’intérieur que de
l’extérieur de l’entité.
MISSION WEBTRUST
7
L’expert-comptable met en oeuvre les tests et les sondages nécessaires afin de vérifier
que le système en place permet de protéger les fichiers de l’entité contre toute intrusion
extérieure ou intérieure et que les dispositifs de protection fonctionnent efficacement.
MISSIONS ULTERIEURES
26- Les diligences de l’expert-comptable, dans le cadre de ses missions ultérieures à la
vérification initiale, comportent :
· dans le cas où l’expert-comptable intervient à la suite de modifications apportées par
l’entité, l’appréciation des conséquences de ces modifications sur l’ensemble du
système et l’adaptation de ses diligences en fonction de ses constatations ;
· dans le cas où il intervient alors qu’aucune modification ne lui a été signalée (en tout
état de cause, au moins tous les trois mois), la vérification que les procédures
identifiées précédemment continuent de fonctionner de manière satisfaisante.
DOCUMENTATION
27- L’expert-comptable documente dans ses dossiers de travail les éléments importants
sur lesquels se fonde son opinion et qui permettent de justifier que ses travaux ont
été effectués selon la présente norme.
LIENS AVEC D’AUTRES MISSIONS
28- S’agissant d’une mission contractuelle spécifique, celle-ci peut avoir des conséquences
directes sur les autres missions normalisées relatives notamment aux comptes de l’entité.
Il appartient ainsi à l’expert-comptable, notamment au cas où il a relevé des anomalies
dans le cadre de sa mission WebTrust, de tirer les conséquences éventuelles sur
l’orientation et la planification des missions d’attestation des informations financières
relatives à l’entité.
29- Si l’expert-comptable relève, dans le cadre d’une autre mission, des faits de nature à
compromettre la continuité de l’exploitation, il en tire les conséquences éventuelles sur
son rapport WebTrust.
30- De même, si l’expert-comptable est conduit à émettre une opinion avec réserve ou une
opinion défavorable sur les comptes de l’entité, ou à refuser d’émettre une opinion, il en
tire les conséquences appropriées sur son rapport WebTrust.
31- Dans les situations évoquées aux deux paragraphes précédents, l’expert-comptable
détermine également s’il convient de mettre un terme à sa mission WebTrust.
MISSION WEBTRUST
8
CONCLUSION ET RAPPORT
32- Sur la base des travaux effectués, l’expert-comptable évalue si les éléments
probants recueillis lors de ses vérifications lui permettent de fonder son opinion.
33- L’expert-comptable établit un rapport à l’issue de chaque période couverte par ses
vérifications, conformément aux modèles annexés ci-après, dans lequel il donne son
opinion sur la déclaration de la direction de l’entité.
34- Le rapport de l’expert-comptable établi sur support papier comprend, en annexe, la
déclaration écrite de l’entité.
Le rapport de l’expert-comptable lié au sceau webTrust affiché sur le site de commerce
électronique de l’entité comporte un lien hypertexte avec la déclaration de l’entité.
35- Le rapport comporte les mentions obligatoires caractérisant tout rapport émis par
l’expert-comptable, généralement présentés ainsi :
(a) un intitulé,
(b) le destinataire du rapport,
(c) un paragraphe d’introduction comportant :
(i) l’identification de l’entité,
(ii) le cadre da ns lequel se situe sa mission.
(iii) sa responsabilité et celles des dirigeants.
(d) un paragraphe sur la nature et les objectifs de la mission comportant un
rappel des normes concernées de la profession et des vérifications effectuées,
(e) une conclusion exprimée sous forme adaptée à sa mission,
(f) la date du rapport,
(g) l’adresse et l’identification du (des) signataire (s) du rapport.
36- Le rapport précise également :
· les limites inhérentes au fonctionnement de toute procédure et de tout système de
contrôles et à l’utilisation des techniques de sondages ;
· la signification du sceau WebTrust et l’exclusion expresse, en conséquence, d’une
quelconque assurance sur la qualité des produits ou des services proposés, leur
adéquation par rapport aux besoins du consommateur, ainsi que sur la continuité de
l’exploitation de l’entité.
37- L’expert-comptable exprime une opinion favorable en l’absence d’anomalies
significatives relevées dans la déclaration de la direction au regard de ses pratiques
en matière de commerce électronique et de leur conformité avec les principes et
critères WebTrust.
MISSION WEBTRUST
9
38- Lorsque l’expert-comptable relève des anomalies significatives dans le respect par
l’entité des principes et critères WebTrust, il en fait état dans son rapport et
exprime une opinion défavorable en précisant que l’entité ne peut donc pas
afficher le sceau WebTrust sur son site de commerce électronique.
TRANSMISSION D’INFORMATIONS AU GESTIONNAIRE DU SCEAU
39- Le sceau constitue la représentation symbolique d’un rapport avec un avis favorable et
informe l’utilisateur que le site de commerce électronique de l’entité répond aux
principes et critères WEBTRUST. Il est géré par un prestataire technique indépendant
de l’expert-comptable et de l’entité, dénommé gestionnaire du sceau.
Le gestionnaire du sceau, réalise les opérations d’affichage et de retrait du sceau à partir
des informations reçues.
40- Lorsque l’expert-comptable délivre un rapport avec une opinion favorable, il l'adresse à
l’entité et en délivre simultanément une copie au gestionnaire du sceau.
41- Lorsque l’expert-comptable n’est plus en mesure de délivrer un rapport avec une
opinion favorable, il en informe les dirigeants de l’entité par lettre, accompagnée du
rapport qui explicite les manquements au respect des principes WEBTRUST, et leur
rappelle la nécessité de demander au gestionnaire du sceau le retrait de ce dernier. Il
adresse simultanément au gestionnaire du sceau une copie de la lettre d’accompagnement
du rapport précité, l’informant ainsi de la nécessité de retirer le sceau.
MISSION WEBTRUST
10
MODELES DE RAPPORTS
M1 - Rapport de l’expert-comptable (opinion favorable)
Comme suite à la mission qui nous a été confiée par……………(1)….., nous avons vérifié la
déclaration selon laquelle, sur son site Web consacré au commerce électronique (à
WWW.ABC.COM), pour la période allant du …au …, ………..…(1)…a, conformément
aux principes et critères WebTrust [lien hypertexte] :
· indiqué ses pratiques en matière de commerce électronique et effectué ses opérations
conformément à ces pratiques,
· mis en place des contrôles efficaces de nature à procurer l’assurance que :
- les commandes passées par les clients par la voie du commerce électronique ont été
traitées et facturées comme convenu,
- les renseignements personnels concernant les clients, obtenus dans le cadre des
opérations de commerce électronique, ont été protégés contre toute utilisation
étrangère aux activités de …(1) ….
La responsabilité de cette déclaration, telle que jointe au présent rapport, incombe à…(2)…
[lien hypertexte]. Il nous appartient, sur la base de nos travaux, de donner notre opinion sur la
sincérité de cette déclaration.
Notre vérification a été effectuée conformément aux normes de la profession. Celles-ci
requièrent que cette vérification soit planifiée et exécutée de manière à obtenir l’assurance
raisonnable que la déclaration de …(2)… ne comporte pas d’anomalies significatives. Notre
vérification a comporté notamment une prise de connaissance des pratiques de …(1)… en
matière de commerce électronique, de ses contrôles sur le traitement des opérations ainsi
réalisées et sur la protection des renseignements personnels concernant les clients, ainsi que la
mise en oeuvre de sondages pour vérifier la conformité des opérations effectuées avec les
pratiques commerciales indiquées et l’efficacité du fonctionnement des contrôles mis en place.
Nous estimons que notre vérification fournit une base raisonnable à l’opinion exprimée ciaprès.
A notre avis, la déclaration de (2)…… de (1)……, pour la période du … au …, présente
sincèrement, dans tous leurs aspects significatifs, les pratiques de …(1)… en matière de
commerce électronique et leur conformité avec les principes et critères Webtrust.
Compte tenu des limites inhérentes au fonctionnement de toute procédure et de tout système
de contrôles et à l’utilisation des techniques de sondages, il est possible que des anomalies se
soient produites sans être détectées. En outre, toute projection des résultats d’une évaluation
des contrôles à des périodes futures présente un risque, puisqu’il est possible que ceux-ci
deviennent inadéquats en raison de nouvelles circonstances ou que leur degré de conformité
aux procédures diminue.
(1) Indiquer le nom de l’entité concernée
(2) Préciser la personne ou l’organe de direction compétent.
MISSION WEBTRUST
11
Le sceau WebTrust affiché sur le site Web de commerce électronique de …(1)… constitue la
représentation symbolique du contenu du présent rapport mais n’a pas pour objet, ni ne doit
être interprété comme ayant pour objet, d’actualiser ce rapport ou de fournir une quelconque
assurance additionnelle portant notamment sur la continuité de l’exploitation de …(1)…, sur la
qualité des biens et des services proposés par …(1)… ou sur leur adéquation aux attentes du
consommateur.
Lieu
Date
Signature
________________________
(1) Indiquer le nom de l’entité concernée.
MISSION WEBTRUST
12
M2 - Rapport de l’expert-comptable (opinion défavorable)
Comme suite à la mission qui nous a été confiée par ………….(1)…., nous avons vérifié la
déclaration selon laquelle, sur son site Web consacré au commerce électronique (à
WWW.ABC.COM), pour la période allant du …au …, ……………(1)… a, conformément
aux principes et critères WebTrust [lien hypertexte] :
· indiqué ses pratiques en matière de commerce électronique et effectué ses opérations
conformément à ces pratiques,
· mis en place des contrôles efficaces de nature à procurer une assurance raisonnable que :
- les commandes passées par les clients par la voie du commerce électronique ont été
traitées et facturées comme convenu,
- les renseignements personnels concernant les clients, obtenus dans le cadre des
opérations de commerce électronique ont été protégés contre toute utilisation étrangère
aux activités de …(1)….
La responsabilité de cette déclaration, telle que jointe au présent rapport, incombe à…(2)…
[lien hypertexte]. Il nous appartient, sur la base de nos travaux, de donner notre opinion sur la
sincérité de cette déclaration.
Notre vérification a été effectuée conformément aux normes de la profession. Celles-ci
requièrent que cette vérification soit planifiée et exécutée de manière à obtenir l’assurance
raisonnable que la déclaration de …(2)… ne comporte pas d’anomalies significatives. Notre
vérification a comporté notamment une prise de connaissance des pratiques de …(1)… en
matière de commerce électronique, de ses contrôles sur le traitement des opérations ainsi
réalisées et sur la protection des renseignements personnels concernant les clients, ainsi que la
mise en oeuvre de sondages pour vérifier la conformité des opérations effectuées avec les
pratiques commerciales indiquées et l’efficacité du fonctionnement des contrôles mis en place.
Nous estimons que notre vérification fournit une base raisonnable à l’opinion exprimée ciaprès.
Sur la base des travaux effectués, nous avons relevé les anomalies suivantes dans le respect
des principes et critères WebTrust :
(Indication et description des anomalies)
______________________
(1) Indiquer le nom de l’entité concernée.
(2) Préciser la personne ou l’organe de direction compétent.
MISSION WEBTRUST
13
En raison des faits exposés ci-dessus, nous sommes d’avis que la déclaration de …(2)… de
…(1)… pour la période du … au …, ne présente pas sincèrement, dans tous leurs aspects
significatifs, les pratiques de …(1)… en matière de commerce électronique qui n’apparaissent
pas conformes aux principes et critères WebTrust . L’entité …(1)… ne peut donc pas afficher
le sceau WebTrust sur son site de commerce électronique.
Lieu
Date
Signature
________________________
(1) Indiquer le nom de l’entité concernée.
(2) Préciser la personne ou l’organe de direction compétent.
Recommandations