- La responsabilité civile et pénale du commissaire aux comptes (art. L. 822-17 C. com.) n'est pas transférable à un éditeur d'IA, quelle que soit la qualité de l'outil utilisé.
- Les données comptables non publiées transmises aux outils d'audit cloud américains (DataSnipper sur Azure, MindBridge SaaS) sont potentiellement accessibles aux autorités américaines sous Cloud Act, indépendamment de la localisation des serveurs.
- Le shadow IA sur les travaux de terrain - LLM grand public utilisés pour synthétiser liasses fiscales et contrats - constitue le vecteur de risque MAR le plus immédiat pour les mandats de commissariat sur entités cotées.
Un auditeur senior d'un cabinet mid-tier utilise DataSnipper pour analyser exhaustivement les journaux comptables d'un client coté sur Euronext Growth. En quelques heures, l'outil extrait et rapproche 340 000 écritures. Les données financières non publiées de la société - chiffre d'affaires prévisionnel, marge opérationnelle, résultat net avant annonce - transitent vers les serveurs Microsoft Azure. Le commissaire signe la certification. Le Règlement MAR s'applique à l'information transmise. L'indépendance déontologique, elle, repose sur une chaîne dont le commissaire ne maîtrise pas tous les maillons.
Le constat : adoption IA en audit mid-tier, une gouvernance absente
Le basculement est documenté et irréversible. Les cabinets d'audit mid-tier ont massivement adopté des outils IA d'analyse des journaux comptables, de reconnaissance documentaire et, plus récemment, de génération de rapports assistée par LLM. Grant Thornton a annoncé un investissement d'un milliard de dollars sur trois ans pour équiper l'ensemble de ses collaborateurs. BDO déploie Caseware OnPoint en cloud natif et des partenariats avec MindBridge. Forvis Mazars utilise ChatGPT et Microsoft Copilot intensivement pour les tâches de supervision et de recherche normative.
L'écart critique est posé par les instances professionnelles elles-mêmes. La CNCC l'énonce avec clarté dans ses publications 2025-2026 : l'adoption d'outils précède presque systématiquement la formalisation des cadres de contrôle interne et de gouvernance. La H2A a intégré l'évaluation de l'utilisation de l'IA dans son programme annuel de contrôle. Un cabinet qui déploie MindBridge ou DataSnipper sans être capable de démontrer comment l'outil a été supervisé, paramétré, et comment les faux positifs ont été traités s'expose à des constats de non-conformité pouvant aller jusqu'à des sanctions disciplinaires.
Indépendance et dépendance aux éditeurs IA : une tension nouvelle et documentée
L'indépendance - d'esprit et en apparence - est le socle déontologique du commissariat aux comptes. L'utilisation massive de solutions conçues comme des boîtes noires, concédées sous licence par un oligopole d'éditeurs nord-américains, crée une tension que la profession commence à nommer clairement : si la méthodologie même de la mission est dictée de facto par les paramètres de conception de l'éditeur, le commissaire perd la maîtrise régalienne de sa démarche d'évaluation des risques.
La CNCC documente en outre un fait plus structurant encore : plusieurs éditeurs majeurs d'outils d'audit IA proposent simultanément des prestations de conseil en intégration IA aux entreprises auditées par ces mêmes cabinets. Si les algorithmes sous-jacents à la préparation des comptes de l'entreprise et à la certification de l'auditeur proviennent de la même source technologique, la muraille déontologique ne tient plus.
« La souveraineté décisionnelle de l'auditeur se construit. Elle ne se délègue pas à un éditeur de logiciel, même performant. Gouverner la dépendance aux outils IA, c'est protéger la signature. Doctrine VEIA.AI »
Shadow IA sur les travaux de terrain : le risque MAR sous-estimé
Le risque opérationnel le plus immédiat dans les cabinets mid-tier est la prolifération du shadow IA. Les collaborateurs utilisent ChatGPT standard, Claude ou Gemini pour synthétiser des bilans, des liasses fiscales entières, des contrats d'acquisition ultra-confidentiels - depuis des terminaux personnels ou des interfaces web non verrouillées, lors des travaux de terrain.
Pour les mandats sur entités cotées, le régime juridique est sans ambiguïté. Les données financières transmises à l'auditeur dans les semaines précédant la publication officielle des comptes constituent une information privilégiée au sens du Règlement MAR (Règlement UE 596/2014). Si un collaborateur soumet ces données à un LLM tiers dont les conditions d'utilisation prévoient la réutilisation des requêtes pour l'entraînement du modèle, la chaîne de protection de l'information privilégiée est rompue. Le cabinet s'expose à des sanctions AMF ou FINMA pour défaut de protection et complicité passive d'abus de marché.
La CNCC a consacré sa Fiche IA D6 à ce risque systémique. Son diagnostic est net : l'interdiction pure et simple est vouée à l'échec face à la facilité d'accès aux IA depuis les smartphones. La seule réponse viable est le déploiement d'outils d'entreprise sécurisés - des enclaves privées Azure OpenAI ou équivalent, garantissant contractuellement la non-réutilisation des données pour l'entraînement des modèles.
Ce que la gouvernance doit couvrir
L'AI Act (Règlement UE 2024/1689) a instauré une dichotomie juridique fondamentale entre le fournisseur d'IA (l'éditeur : Caseware, MindBridge, DataSnipper) et le déployeur (le cabinet d'audit qui utilise l'outil). En tant que déployeur, le cabinet assume des obligations concrètes : supervision humaine ininterrompue par des individus ayant l'autorité de contredire l'IA, devoir de suspension si le système risque de générer une opinion gravement erronée, conservation des logs pour la traçabilité des actions.
En Suisse, l'article 321 du Code pénal et les directives EXPERTsuisse posent le même principe : confier des données de révision à des algorithmes hors juridiction suisse, sans garanties contractuelles étanches, crée un risque pénal direct. La nLPD, en vigueur depuis le 1er septembre 2023, renforce les exigences de transparence et les limitations de transferts transfrontaliers. L'ASR intègre désormais l'IA dans ses contrôles de qualité.
La gouvernance IA d'un cabinet mid-tier couvre quatre dimensions : la cartographie décisionnelle de données auditées vers les outils tiers, le cadre shadow IA aligné sur les Fiches CNCC, la politique de réversibilité contractuelle vis-à-vis des éditeurs, et la documentation de la supervision humaine opposable aux régulateurs. Ce n'est pas de la conformité pour la conformité. C'est la protection de la signature.
VEIA.AI est un conseil structurellement indépendant de tout éditeur ou intégrateur. Diagnostic Gouvernance IA, session Direction Qualité, cadrage stratégique pour comité de direction. Cible : cabinets mid-tier en France et Suisse.
