2.6.2 L'AU-005 est-elle auditable en l'état
?
On pourrait considérer l'AU-005 comme une norme
auditable car la plupart des objectifs sont suffisamment précis et
mesurables pour que l'on puisse envisager de les évaluer en vue de les
certifier.
Certains objectifs posent néanmoins des
problèmes dans la mesure où ils s'avèrent difficile
à évaluer alors qu'ils correspondent pour certains à des
principes fondamentaux posés par la loi n° 78-17 du 6 janvier 1978
modifiée.
Cet objectif par exemple ne permet pas dans sa
rédaction actuelle d'être valablement évaluer :«
Conformément à l'article 10 de la loi du 6 janvier 1978, le
résultat du score ne peut, en toute hypothèse, avoir qu'un
caractère indicatif
54
lorsqu'il ne conclut pas à l'attribution du
crédit sous la seule réserve de la production de pièces
justificatives.» Comment en effet évaluer
précisément le caractère indicatif du score dans une
décision de refus d'octroi de crédit ? Ce caractère
indicatif est-il caractérisé lorsque le score est produit mais
qu'il est uniquement indiqué au décideur ? Ou bien est-ce dans le
cas où la décision de refus n'est pas prise automatiquement sur
la base du score que ce caractère indicatif est
caractérisé ? Ce point demeure à préciser.
De la même manière, l'objectif
rédigé en ces termes: « Le responsable de traitement
doit s'assurer du caractère suffisant des mesures prises en vue
d'assurer la sécurité et la confidentialité des
données» s'avère difficile à évaluer du
fait de son imprécision. Quand peut-on considérer que l'on a
atteint un niveau suffisant ? Selon quelle métrique ? Dans quelles
circonstances ? Là aussi, il est nécessaire d'être plus
précis.
Ce point est pourtant fondamental puisqu'il relève
également des prescriptions contenues dans l'article 34 de la loi
n° 78-17 modifiée qui dispose que «Le responsable du
traitement est tenu de prendre toutes précautions utiles, au regard de
la nature des données et des risques présentés par le
traitement, pour préserver la sécurité des données
et, notamment, empêcher qu'eles soient
déformées, endommagées, ou que des tiers non
autorisés y aient accès.»
D'autres objectifs notamment ceux contenus dans la
dernière partie de l'Autorisation unique dans les «autres
conditions à remplir» soulèvent des questions.
L'autorisation précise que «Les techniques
statistiques utilisées pour l'élaboration et l'actualisation des
modèles de score doivent régulièrement faire l'objet de
tests de fiabilité et de pertinence ». De quel type de
pertinence parle-t-on ? Qu'entend-on par fiabilité ? La notion de
régularité se mesure-t-elle en mois ou en année ?
Autre exemple : «Les données prises en compte
pour le calcul du score sont choisies et pondérées en fonction du
lien de corrélation qu'eles présentent avec le
risque attaché à l'opération». Sur quelle base
cet objectif peut-il être évalué ? Quelle métrique
doit-on utiliser pour mesurer cet objectif ? Sera-t-elle toujours la même
quelque soit l'établissement ? ou doit-on envisager d'édicter une
règle plus générique qui évite la discrimination
tout en préservant une certaine marge de manoeuvre aux
établissements financiers qui jouent sur ce point leur différence
concurentielle ?
|