Ceux qui considèrent encore les processus de gestion des frais comme une simple routine administrative sous-estiment leur portée réglementaire. Du point de vue de la comptabilité financière, la gestion des frais est aujourd’hui avant tout un traitement interconnecté de données à caractère personnel qui dépasse les limites des systèmes. C’est précisément là que résident les risques.

En effet, entre la réservation de voyage, la numérisation des justificatifs, la validation, la comptabilisation et le remboursement, les données ne circulent pas seulement au sein d’un seul outil, mais à travers tout un écosystème : des TMC comme Onesto ou Atriis, des systèmes RH, des plateformes ERP comme SAP, des interfaces comptables avec DATEV, des solutions de paiement, des fiduciaires ou des organismes de contrôle externes. Chaque intégration n'est pas seulement un gain d'efficacité, mais aussi un point de contrôle en matière de protection des données et de sécurité.

Les frais sont un sujet plus sensible que ne le pensent de nombreux responsables de processus

Dans le domaine des notes de frais, il est rare qu’il s’agisse uniquement d’un montant et d’un centre de coûts. On traite régulièrement des noms, des matricules, des données de carte de crédit ou bancaires, des profils de voyage, des lieux de séjour, des informations relatives aux frais de représentation et, parfois, des informations particulièrement sensibles figurant sur les justificatifs, par exemple concernant la santé, la mobilité ou la situation personnelle. Une simple facture d’hôtel, un reçu de taxi ou une note de frais médicale lors d’un déplacement professionnel peut en révéler bien plus qu’il n’y paraît à première vue.

Une chose est donc claire : le traitement des frais professionnels constitue un traitement de données à caractère personnel au sens du RGPD et de la loi suisse révisée sur la protection des données, la nLPD. Les entreprises doivent donc non seulement maîtriser le processus lui-même, mais aussi chaque transfert de données entre les systèmes concernés.

Les intégrations constituent le véritable source de risque

Dans de nombreux projets, la sécurité de l'application principale fait l'objet d'un examen approfondi, tandis que les interfaces sont traitées presque en passant. C'est précisément cela qui est dangereux. Le risque ne réside souvent pas dans l'outil de gestion des dépenses seul, mais dans la chaîne composée d'API, d'importations, d'exportations, de webhooks et de composants middleware.

Dès que les données de base sont extraites du système RH, que les transactions par carte de crédit sont importées, que les écritures comptables sont transférées vers l'ERP ou que les pièces justificatives sont transmises à la comptabilité financière ou au fiduciaire, trois questions doivent trouver une réponse claire :

- Quelles données circulent concrètement ?

- Qui est responsable de quelle étape du traitement ?

- Quelles mesures techniques et organisationnelles protègent le transfert ?

Sans cette transparence, un angle mort typique apparaît : l'intégration fonctionne sur le plan opérationnel, mais n'est pas solide sur le plan réglementaire.

ISO 27001 : importante, mais insuffisante

Dans le domaine de la gestion des dépenses, la norme ISO 27001 est un signal fort. Ni plus, ni moins. Cette certification atteste qu’un prestataire organise systématiquement la sécurité de l’information, évalue les risques et a mis en place des contrôles dans le cadre d’un SMSI. Pour les plateformes qui se veulent interopérables, il s’agit aujourd’hui pratiquement d’une norme minimale.

Mais c'est la mise en œuvre opérationnelle qui est déterminante. Au quotidien, les responsables financiers ne devraient pas se contenter de demander le certificat, mais s'informer sur les mécanismes de sécurité concrets mis en place lors des intégrations :

- Chiffrement de la transmission et du stockage des données

- Concepts de rôles et accès selon le principe du privilège minimal

- Séparation des mandants

- Journalisation des accès et des transferts de données

- Gestion des incidents et des violations

- Concepts réglementés de suppression et de conservation

- Contrôle des sous-traitants et des partenaires tiers

En bref : la norme ISO 27001 ne remplace pas la diligence raisonnable. Quiconque achète des intégrations doit comprendre comment la sécurité est mise en œuvre sur le plan technique et où se trouvent réellement les données.

RGPD et nDSG : les obligations incombent à l'entreprise

Dans les projets financiers en particulier, on suppose souvent que le fournisseur de logiciels se chargera de la conformité. C'est une idée fausse. Le fournisseur peut apporter son soutien, documenter et garantir la conformité. La responsabilité du traitement licite incombe toutefois à l'entreprise qui traite les données de ses collaborateurs.

Dans le domaine de la gestion des dépenses, cela signifie notamment :

- définir clairement les bases juridiques et les finalités

- documenter les flux de données

- tenir à jour le registre des activités de traitement

- informer les personnes concernées en toute transparence

- conclure des contrats de sous-traitance

- vérifier les transferts internationaux de données

- évaluer les mesures techniques et organisationnelles

- réaliser, le cas échéant, une analyse d'impact relative à la protection des données

Dans le contexte DACH, il faut ajouter ceci : quiconque travaille en Allemagne, en Autriche et en Suisse n'a pas besoin d'un niveau minimal, mais d'une norme solide qui fonctionne au-delà des frontières. La nDSG n'est pas une législation secondaire moins contraignante, mais constitue en pratique un cadre de contrôle à part entière, notamment en matière de notification à l'étranger et d'obligations de transparence.

Le point faible le plus courant : un manque de clarté quant aux rôles au sein de l'écosystème des partenaires

Plus le nombre de partenaires impliqués est élevé, plus la clarification juridique revêt une importance capitale. Tous les partenaires d'intégration ne sont pas automatiquement des sous-traitants. Certains agissent de manière indépendante, d'autres dans le cadre d'une responsabilité conjointe, d'autres encore en tant que sous-traitants d'un prestataire.

Si ces rôles ne sont pas clairement définis, cela engendre un risque en matière de responsabilité. À mon sens, c'est l'un des aspects les plus sous-estimés dans les piles financières modernes.

Ce qu'il faut, ce n'est pas un simple exercice administratif, mais une gouvernance solide :

- une matrice des rôles couvrant tous les systèmes impliqués

- un contrat de sous-traitance (AVV) lorsqu'il y a un véritable traitement de données

- la transparence sur les sous-traitants utilisés

- des règles claires pour les accès au support

- des procédures d'escalade définies en cas d'incidents de sécurité

Dans les écosystèmes basés sur des API en particulier, cette clarté détermine si une entreprise apparaît souveraine ou improvise lors d'un audit.

Quand une analyse d'impact relative à la protection des données est-elle utile ou nécessaire ?

Toutes les intégrations ne donnent pas automatiquement lieu à une analyse d'impact relative à la protection des données. Mais dans le contexte de la gestion des dépenses, le seuil est atteint plus rapidement que beaucoup ne le pensent. Cela vaut surtout lorsque plusieurs sources de données sont reliées, que les données de déplacement ou de mouvement peuvent être analysées de manière systématique, que le contenu sensible des justificatifs est traité ou qu'une nouvelle transparence sur le comportement et les habitudes des collaborateurs apparaît.

Quiconque regroupe systématiquement, par exemple, les réservations de voyage, les données de dépenses, les données de base RH et les informations de paiement ne devrait pas traiter la question de l'analyse d'impact sur la protection des données à la légère. Un examen préalable sérieux montre également aux délégués à la protection des données, aux auditeurs et aux autorités de contrôle que les risques ne sont pas traités seulement après coup, en cas d'incident.

Ce que la comptabilité financière devrait concrètement exiger

Pour les équipes financières, ce sujet n'est plus depuis longtemps une simple question informatique. Quiconque choisit des systèmes, valide des intégrations ou collabore avec des fiduciaires et des partenaires doit insister sur trois points :

Premièrement : une cartographie claire des flux de données.

Pas de manière abstraite, mais concrètement pour chaque intégration.

Deuxièmement : un modèle contractuel et de rôles solide.

Qui traite quoi, dans quel rôle, sur quelle base ?

Troisièmement : une preuve de sécurité qui va au-delà du simple marketing.

La norme ISO 27001 est une bonne chose. Mais ce qui importe davantage, c’est de savoir si le niveau de contrôle est suffisant pour son propre processus.

Conclusion

Dans la gestion des dépenses, la conformité ne se joue pas seulement au niveau de l'application, mais aussi au niveau des interfaces. C'est là où les systèmes échangent des données, où les partenaires sont impliqués et où les processus s'enchaînent de manière automatisée que se trouve le véritable test décisif pour la protection des données et la sécurité de l'information.

Considérer les normes ISO 27001, RGPD et nDSG comme de simples critères d'achat, c'est manquer de vision. Dans le domaine financier, il est question de confidentialité, de traçabilité et de responsabilité. Et, en fin de compte, de confiance : celle des collaborateurs, des auditeurs, des partenaires et de la direction elle-même.

La sécurité des données lors des intégrations n’est donc pas une question secondaire. C’est un enjeu de gestion. Surtout dans le contexte de la gestion des dépenses.

S’inscrire à la newsletter d’Edi en allemand

La newsletter en allemand vous permet de rester informés sur Edi : inscrivez-vous avec votre adresse e-mail et vous ne manquerez aucun article. Vous pourrez bien sûr vous désinscrire à tout moment.