Vous êtes sur la page 1sur 16

DIPLÔME SUPÉRIEUR DE COMPTABILITÉ ET DE

GESTION

UE5 – MANAGEMENT DES SYSTÈMES


D’INFORMATION

SESSION 2020

Durée de l'épreuve : 3 heures Coefficient : 1

20DSCG-UE5 Management des systèmes d’information Page 1/6


UE5 – MANAGEMENT DES SYSTÈMES D'INFORMATION
Durée de l’épreuve : 3 heures - coefficient : 1

Document autorisé :
Aucun.

Matériel autorisé :
Aucun.

Document remis au candidat :


Le sujet comporte 6 pages numérotées de 1/6 à 6/6.

Il vous est demandé de vérifier que le sujet est complet dès sa mise à votre disposition.

Le sujet se présente sous la forme de questions.

AVERTISSEMENT

Si le texte du sujet, de ses questions ou de ses annexes, vous conduit à formuler une ou
plusieurs hypothèses, il vous est demandé de la (ou les) mentionner explicitement dans
votre copie.

20DSCG-UE5 Management des systèmes d’information Page 2/6


SUJET

Le sujet se compose d’une unique étude de cas centrée sur le cabinet « CECL20 ».

Ce cas relate vos dix premières semaines d’expérience professionnelle au sein du cabinet
« CECL20 ». Chacune de ces dix semaines – dont certaines furent impactées voire perturbées
par la crise de la COVID19, le confinement et le télétravail – vous confronte à une activité ou à
une thématique particulière qui est en lien avec les métiers, tâches et responsabilités exercés
dans une direction des systèmes d’information.

Le cabinet d’expertise comptable ligérien (CECL20) est une structure assez emblématique de la
profession en France avec ses 27 collaborateurs et salariés à temps plein répartis sur ses trois
sites (Nantes (15), La Roche-sur-Yon (8) et La Baule (4)). Ce cabinet fonctionne plutôt bien,
son turn-over est faible, sa clientèle est fidèle et ses résultats sont bons. Les responsables du
cabinet voient toutefois une tendance lourde se profiler, celle du glissement vers les activités de
conseil. Pour accompagner cette tendance, et améliorer sa réactivité, le cabinet a modernisé
récemment son système d’information. De plus, comme toute la profession, le cabinet se trouve
confronté, depuis mai 2018, au déploiement, à la mise en conformité et au respect du
Règlement Général sur la Protection des Données à caractère personnel (RGPD). Il se retrouve
néanmoins relativement désarmé face à la diversité des aspects qu’il doit aborder et maîtriser à
la fois pour lui-même et pour ses clients car – pour rappel - l’article 2 du Règlement général
européen sur la protection des données prévoit qu'il s'applique « au traitement de données à
caractère personnel, automatisé en tout ou en partie, ainsi qu'au traitement non automatisé de
données à caractère personnel contenues ou appelées à figurer dans un fichier »

Ce cabinet vous a donc recruté au regard de vos compétences sur le RGPD et de votre
expérience récente de « data contrôler ». Cela fait désormais dix semaines que vous évoluez
sur son site nantais pour assurer notamment au sein du cabinet la fonction de Délégué à la
Protection des Données (DPO) pour accompagner le cabinet vers une protection optimale des
données personnelles que « CECL20 » traite à la fois en interne (cabinet) et en externe
(clientèle). Vos dix premières semaines comme « DPO » vous ont confronté à de nombreuses
thématiques et situations liées au système d’information, aux technologies de l’information, aux
données personnelles et au RGPD, aux bonnes pratiques à déployer et à faire respecter parfois
au sein même de votre entreprise « CECL20 ». Ces dix semaines sont détaillées ci-après et
elles donnent lieu à chaque fois à une ou plusieurs questions.

20DSCG-UE5 Management des systèmes d’information Page 3/6


Semaine 1
Comme vous le savez, pour les cabinets d'expertise comptable, la nomination d’un « DPO » est
obligatoire mais, dans certains cas, il peut être mutualisé.

Travail à faire :

1. Pourquoi la nomination d’un « DPO » pour un cabinet d'expertise comptable est-elle


obligatoire ? (1 point)
2. Pourquoi le législateur donne-t-il la possibilité de mutualiser la fonction de « DPO »
entre plusieurs entreprises ? (1 point)
3. Quel est le rôle du « DPO » vis-à-vis de la direction ? (1 point)

Semaine 2
Après avoir pris connaissance des spécificités du cabinet, et de ses trois sites distants, en
matière de collecte, de stockage, de traitement et d’accès visant les données personnelles,
mais aussi de la diversité des secteurs d’activité de ses clients répartis sur la région ligérienne,
il vous semble que le niveau d’exposition au risque de non-conformité au RGPD n’est pas
négligeable et donc qu'une analyse d'impact est opportune.

Travail à faire :

4. Dans quelles situations le « DPO » peut-il procéder à une « Analyse d'Impact centrée
sur la protection des données » (AIPD) ? (1 point)

Semaine 3 et 4
Après quelques expériences malencontreuses et avoir repéré quelques dysfonctionnements sur
le traitement des données personnelles des membres du cabinet (le stockage des plaques
d’immatriculations de leurs véhicules sans consentement préalable), vous envisagez de
proposer à la direction de « CECL20 » de tenir un registre.

Travail à faire

5. Comment envisagez-vous de présenter et de renseigner ce registre ? (1 point)


6. Ce registre est-il obligatoire pour le cabinet « CECL20 » ? Vous justifierez votre
réponse. (1 point)
7. Quelles sont les informations à communiquer aux employés ? Quelles sont les
modalités de recueil du consentement ? (1 point)

Semaine 5
Vous continuez vos observations et votre analyse des pratiques du cabinet. Vous avez noté
quelques faiblesses, oublis ou imperfections qui peuvent être préjudiciables dans le traitement
des contrats avec les prestataires et les sous-traitants

Travail à faire

8. Comment mettre en conformité les contrats du cabinet avec ses prestataires et


sous-traitants par rapport à la règlementation sur le traitement des données
personnelles ? (1 point)

20DSCG-UE5 Management des systèmes d’information Page 4/6


Semaine 6
Vous êtes désormais bien au fait de votre rôle de « DPO », d’autant plus que le cabinet doit
faire face à la crise sanitaire liée à la pandémie de la COVID19 qui impacte le cabinet
notamment en imposant le télétravail et donc de nouvelles pratiques (visioconférence, partage
de fichiers, échanges d'informations, etc.) à un grand nombre de collaborateurs du cabinet. Dès
lors, vous devez proposer à votre direction d’envisager un scenario de crise sécuritaire du
système d’information qui aurait pour conséquence de perturber gravement l’activité.

Travail à faire

9. Comment prévenir les risques « SI » ? Que faire si ces risques se réalisent ? (1 point)
10. Quelles sont les actions de formation des personnels qui pourraient être mises en
place et selon quelles modalités ? (0,5 point)
11. En cas de mise en place de formation à distance, quelles sont les précautions à
prendre ? (0,5 point)

Semaine 7
Vos employeurs ont désormais pris conscience de la complexité du dossier qu’ils vous ont
confié. Ils apprécient votre professionnalisme, vos capacités d’observation et vos capacités de
synthèse face à des questions souvent sensibles. Ils ont noté vos capacités didactiques et
pédagogiques quand il s’agit d’aborder les enjeux et obligations liés au RGPD et à son
déploiement in situ. Ils aimeraient donc que vous interveniez lors d’une table ronde (environ
10 minutes à l’oral) lors d’un prochain congrès qu’ils organisent à la cité des congrès de Nantes
pour les experts comptables du grand ouest afin de montrer les enjeux spécifiques que doivent
affronter les congressistes dans leur cabinet. Vous choisissez de structurer votre présentation
autour des questions suivantes :

Travail à faire

12. Quels sont les obligations liées au RGPD au sein d’un cabinet
d’expertise-comptable ? (1 point)
13. Quelles sont les solutions informatiques possibles ? vous mettrez en évidence les
avantages et les contraintes de chacune des solutions. (1 point)
14. Comment mettre en œuvre les obligations liées au RGPD chez les clients d’un
cabinet d’expertise-comptable ? Quelles sont les préconisations de l’Ordre des
experts-comptables en la matière ? (1 point)

Semaine 8
Vous voulez informer vos collègues et les clients du cabinet de ces nouvelles thématiques et
vous envisagez de créer une mailing-list et une newsletter.

Travail à faire

15. Quelles sont les règles à respecter lors d’une communication par newsletter utilisant
une mailing-list ? (1 point)

20DSCG-UE5 Management des systèmes d’information Page 5/6


Semaine 9
Au fur et à mesure de votre découverte de l’entreprise « CECL20 » et surtout des usages,
appropriations et autres contournements de son système d’information et de gestion par le
personnel qui est habilité à l’utiliser, vous avez remarqué que la grande majorité de ces
utilisateurs n’a pas pris conscience du processus d’intégration qui vient de se terminer au sein
du cabinet.
En effet, l’ancien système n’était pas intégré et était organisé autour de trois silos applicatifs
différents et non-interopérables :
 un pour le back office avec une base de données et deux applications,
 un second pour le front office avec une base de données et trois applications
 et enfin, un troisième pour la cybersécurité avec une base de données et une seule
application).

Le nouveau système est basé sur le déploiement réussi d’un ERP/PGI proposé en mode
Software as a Service (SaaS) et hébergé en quasi-totalité sur les datacenters du fournisseur
éditeur-leader sur le marché de l’expertise comptable. Cet ERP/PGI est organisé en étoile
c’est-à-dire de façon classique. Il dispose de six modules (l’entreprise a acheté et déployé les
modules correspondant globalement aux mêmes fonctionnalités que celles dont disposait de
l’ancien système) interconnectés à une base de données unique qui est le pivot du système et
qui lui permet d’être plus réactif et plus homogène que l’ancien.

Travail à faire

16. Quelles sont les avancées majeures proposées par le nouveau système d'information ?
(1 point)
17. Comment structurer votre propos et vos séances pour faire passer vos messages
dans chacun des deux séminaires (end-user et key-user) ? (2 points)
18. Quelle conclusion pourriez-vous proposer lors de ce double séminaire afin de
montrer le bien-fondé de cette migration vers un ERP ? (1 point)

Semaine 10
Votre mission de « DPO » touche à sa fin, tout vous semble à présent mis à niveau au sein de
« CECL20 ». Toutefois, vous aimeriez faire un sondage auprès de vos employeurs eux même
car vous avez un doute sur leur niveau d’information et de vigilance en matière de sécurité de
leur propre « SI ». Vous envisagez ensuite de leur dispenser une formation d’une heure tous les
ans sur les bonnes pratiques en termes de politique de sécurité de leur propre « SI ».

Travail à faire :

19. Quelles sont les cinq questions que vous aimeriez poser (individuellement et en face
à face) à vos employeurs pour évaluer leur niveau d’information en terme de sécurité
du « SI » ? (1 point)
20. Comment pourriez-vous traiter et exploiter leurs réponses afin d’améliorer la sécurité
du « SI » du cabinet ? (1 point)

20DSCG-UE5 Management des systèmes d’information Page 6/6


Corrigé du DCG 2020
UE 5 – Management des SI
Le Meilleur de la formation en comptabilité-gestion à distance

SESSION 2020

UE 5 – MANAGEMENT DES SYSTÈMES


D’INFORMATION

CORRIGÉ

www.comptalia.com - 01 74 88 80 00 (Appel gratuit depuis un poste fixe)


© Comptalia.com - Ce corrigé est fourni à titre indicatif et ne saurait engager la responsabilité de Comptalia
Page 0Page 0
Corrigé du DCG 2020
UE 5 – Management des SI
Le Meilleur de la formation en comptabilité-gestion à distance

Correction

Remarque préalable

Le corrigé proposé par Comptalia est souvent plus détaillé que ce que l’on est en droit d’attendre d’un candidat
dans le temps imparti pour chaque épreuve.
À titre pédagogique le corrigé peut donc comporter des rappels de cours par exemple, non exigés dans le
traitement du sujet.

Par ailleurs, ce corrigé est fourni à titre indicatif, au même titre que le corrigé officiel.
Le management des SI est une matière riche et transversale. Le correcteur doit donc apprécier chaque réponse
en la qualifiant d’« acceptable » lorsqu’elle est à la fois cohérente, eu égard le contexte abordé, mais aussi
suffisamment argumentée/justifiée.

1. Pourquoi la nomination d’un « DPO » pour un cabinet d’expertise comptable est-elle obligatoire ?
(1 point)

D’après l’énoncé du sujet, le/la « Délégué[e] à la Protection des Données (DPO) […] accompagne le cabinet vers
une protection optimale des données personnelles […] traitées à la fois en interne (cabinet) et en externe
(clientèle). »

Dans un cabinet d’expertise comptable, il est vital de protéger les données personnelles liées aux
collaborateurs (données RH, marketing, etc.) et celles collectées auprès des clients (missions autour des paies,
etc.). La mise en place d’un/une DPO est donc obligatoire afin de s’assurer de la bonne mise en application
du RGPD.

Il/elle pourra informer les membres du cabinet (et notamment la direction quant aux sanctions encourues en cas
de violation du RGPD), les former aux bonnes pratiques et jouer un rôle d’interface entre le cabinet et la CNIL.

Compléments d’information :
• En France il s’agit de remplacer la fonction facultative de CIL (Correspondant Informatique et
libertés) créée en 2004. Les prérogatives et missions de la fonction de DPO sont renforcées.
• La désignation d’un DPO est obligatoire dès lors que les activités principales de l’organisme
impliquent de traiter à grande échelle des données sensibles. Le RGPD précise, quant à la
qualification d’une activité à grande échelle, que sont concernées « les opérations de
traitement à grande échelle qui visent à traiter un volume considérable de données à caractère
personnel au niveau régional, national ou supranational, qui peuvent affecter un nombre
important de personnes concernées et qui sont susceptibles d’engendrer un risque élevé ».

2. Pourquoi le législateur donne-t-il la possibilité de mutualiser la fonction de « DPO » entre plusieurs


entreprises ? (1 point)

D’après les indications proposées, le recrutement d’un/une DPO s’est fait « au regard [des] compétences sur le
RGPD et de [l’] expérience récente de « data contrôler ».

Il est donc possible de mutualiser cette fonction puisqu’il s’agit d’un profil qualifié exigeant des compétences
précises et une expérience avérée.

Par ailleurs le fait de procéder à une mutualisation d’une fonction n’est pas sans lien avec la possibilité de réaliser
des économies autour de cette dernière (gains de temps et d’argent).

www.comptalia.com – 01 74 88 80 00 (Appel gratuit depuis un poste fixe)


© Comptalia.com - Ce corrigé est fourni à titre indicatif et ne saurait engager la responsabilité de Comptalia
Page 1 sur 9
Corrigé du DCG 2020
UE 5 – Management des SI
Le Meilleur de la formation en comptabilité-gestion à distance

Enfin, le fait de centraliser cette fonction amène un avantage indéniable en termes de


rationalisation/uniformisation des pratiques et décisions dans les cabinets concernés.

Compléments d’information :
• La fonction de DPO peut être mutualisée ou externalisée ;
• Lorsqu’un(e) délégué(e) est désigné(e) pour un groupe d’entreprises, il/elle doit être
facilement joignable à partir de chaque lieu d’établissement, être en mesure de communiquer
efficacement avec les personnes concernées et coopérer avec l’autorité de contrôle.

3. Quel est le rôle du « DPO » vis-à-vis de la direction ? (1 point)

Le/la DPO est “confronté(e) à de nombreuses thématiques et situations liées (…) aux bonnes pratiques à déployer
et à faire respecter parfois au sein même” du cabinet.

Dans sa fonction il est donc nécessaire d’informer la direction quant aux :


• Modifications de processus à mettre en œuvre afin d’être en conformité avec le RGPD ;
• Défaillances constatées ;
• Sanctions encourues en cas de violation du RGPD ;
• Bonnes pratiques à mettre en œuvre ;
• Etc.

De façon générale la fonction de DPO implique de devenir le/la référent(e) quant aux traitements sur les données
personnelles, en jouant un rôle d’interface entre les responsables de traitements et la CNIL. Tout ceci reste
possible par une activité de veille continue et le maintien d’une communication accrue avec la direction.

Compléments d’information :
• La fonction de DPO n’est pas synonyme de « responsable du traitement » (il ne doit pas rendre
des comptes quant à la conformité au RGPD).
• Le délégué doit être désigné “sur la base de ses qualités professionnelles et (…) de sa capacité
à accomplir [ses] missions” (article 37.5 du règlement européen). LA CNIL précise qu’il faut
donc que cette personne jouisse d’un « positionnement efficace en interne pour être en
capacité de faire directement rapport au niveau le plus élevé de l’organisme » 1.

4. Dans quelles situations le « DPO » peut-il procéder à une « Analyse d’Impact centrée sur la
protection des données » (AIPD) ? (1 point)

Cette AIPD fait suite à un audit des « spécificités du cabinet, et de ses trois sites distants, en matière de collecte,
de stockage, de traitement et d’accès visant les données personnelles, mais aussi de la diversité des secteurs
d’activité de ses clients répartis sur la région ligérienne » qui amène au constat suivant : « le niveau
d’exposition au risque de non-conformité au RGPD n’est pas négligeable ».

Il existe un risque élevé pour les droits et libertés des personnes concernées, et dès lors en tant que DPO on
peut déterminer la mise en œuvre d’une AIPD.

Compléments d’information :
La CNIL précise la liste des types d’opérations de traitement pour lesquelles une analyse
d’impact relative à la protection des données est requise 2. Par ailleurs, une AIPD est

1
Devenir délégué à la protection des données. Site officiel de la CNIL. Publié le 23 mai 2017, consulté le
30 novembre 2020. En ligne. [Url : https://www.cnil.fr/fr/devenir-delegue-la-protection-des-donnees]
2
Pour en savoir plus, voir : Liste des types d’opérations de traitement pour lesquelles une analyse d’impact
relative à la protection des données est requise. Site officiel de la CNIL. Publié le 22 octobre 2019, consulté le

www.comptalia.com – 01 74 88 80 00 (Appel gratuit depuis un poste fixe)


© Comptalia.com - Ce corrigé est fourni à titre indicatif et ne saurait engager la responsabilité de Comptalia
Page 2 sur 9
Corrigé du DCG 2020
UE 5 – Management des SI
Le Meilleur de la formation en comptabilité-gestion à distance

obligatoire si au moins deux des neuf critères suivants sont remplis par le traitement :
évaluation/scoring (y compris le profilage) ; décision automatique avec effet légal ou
similaire ; surveillance systématique ; collecte de données sensibles ou données à caractère
hautement personnel ; collecte de données personnelles à large échelle ; croisement de
données ; personnes vulnérables (patients, personnes âgées, enfants, etc.) ; usage innovant
(utilisation d’une nouvelle technologie) ; exclusion du bénéfice d’un droit/contrat.

5. Comment envisagez-vous de présenter et de renseigner ce registre ? (1 point)

Le registre doit fournir une vue d’ensemble des traitements réalisés. Il devra mentionner :
• La désignation des données manipulées ;
• Les traitements associés ;
• Les parties prenantes intervenantes dans les traitements ;
• La durée de conservation des données ;
• Les personnes accédant à ces données ;
• La sécurité mise en œuvre autour de ces dernières.

Compléments d’information :
• La CNIL précise que si l’organisme agit à la fois en tant que sous-traitant et responsable de
traitement, le registre doit distinguer les deux catégories d’activités. En pratique, elle conseille
de proposer deux registres : responsable des traitements et sous-traitant (traitements
effectués pour le compte du client).
• Le registre doit être mis à jour au fur et à mesure de l’évolution des traitements.

6. Ce registre est-il obligatoire pour le cabinet « CECL20 » ? Vous justifierez votre réponse. (1 point)

Oui, car l’obligation de tenir un registre des traitements concerne tous les organismes, publics comme privés et
quelle que soit leur taille, dès lors qu’ils traitent des données personnelles.

Compléments d’information :
La dérogation possible pour les entreprises de moins de 250 salariés est limitée à des cas très
particuliers de traitements, mis en œuvre de manière occasionnelle et non routinière sous
réserve que ces traitements ne soulèvent aucun risque pour les personnes concernées. En cas
de doute sur l’application de cette dérogation à un traitement, la CNIL vous recommande de
l’intégrer dans votre registre.

7. Quelles sont les informations à communiquer aux employés ? Quelles sont les modalités de recueil
du consentement ? (1 point)

Des dérives ont été constatées dans les traitements réalisés, et notamment « le stockage des plaques
d’immatriculations des véhicules sans consentement préalable ».

Il est en effet nécessaire dans un premier temps, avant de mettre en œuvre de tels traitements, de recueillir
le consentement des personnes concernées.

La transparence impose de bien informer les employés des raisons de la collecte, des traitements ultérieurs
réalisés, mais aussi de leur capacité à exercer leurs droits (accès, rectification, suppression, droit à l’oubli…).

30 novembre 2020. Fichier PDF en ligne. [Url : https://www.cnil.fr/sites/default/files/atoms/files/liste-


traitements-aipd-requise.pdf]

www.comptalia.com – 01 74 88 80 00 (Appel gratuit depuis un poste fixe)


© Comptalia.com - Ce corrigé est fourni à titre indicatif et ne saurait engager la responsabilité de Comptalia
Page 3 sur 9
Corrigé du DCG 2020
UE 5 – Management des SI
Le Meilleur de la formation en comptabilité-gestion à distance

Compléments d’information :
• La personne concernée par un traitement de données doit recevoir une information délivrée
de façon concise, transparente, compréhensible et aisément accessible, en des termes clairs
et simples.
• Dans tous les cas on doit mentionner :
o Identité et coordonnées de l’organisme responsable du traitement de données ;
o Finalités et base légale des traitements ;
o Caractère obligatoire ou facultatif du recueil des données et conséquences pour la
personne en cas de non-fourniture des données ;
o Destinataires ou catégories de destinataires des données ;
o Durée de conservation des données ;
o Droits des personnes concernées ;
o Coordonnées du DPO ;
o Droit d’introduire une réclamation auprès de la CNIL.

8. Comment mettre en conformité les contrats du cabinet avec ses prestataires et sous-traitants par
rapport à la règlementation sur le traitement des données personnelles ? (1 point)

Les sous-traitants sont tenus de respecter le RGPD au même titre que les responsables du traitement.

Il serait donc judicieux que donneur d’ordre et prestataire mènent une analyse commune afin de s’accorder sur
les responsabilités respectives. Ce qui implique de :
• Construire des contrats clairs et adaptés ;
• Faciliter la communication du prestataire et donneur d’ordre (par exemple, pour l’exercice des droits
d’accès, etc.) ;
• Garantir la sécurité des données collectées.

Compléments d’information :
La CNIL précise que le sous-traitant a aussi un rôle d’assistance et de conseil à l’égard du
responsable du traitement : il doit l’alerter en cas de doute sur la conformité au RGPD.

9. Comment prévenir les risques « SI » ? Que faire si ces risques se réalisent ? (1 point)

Le sujet fait part d’un « scénario de crise sécuritaire du système d’information qui aurait pour conséquence de
perturber gravement l’activité ». La pandémie met en évidence des défaillances dues aux nouvelles pratiques du
télétravail.

Pour prévenir les risques SI, il faut tout d’abord les lister puis déterminer quelles sont les priorités. On ne
peut pas tout protéger, mais il s’agit de discerner les activités primordiales, nécessaires pour le maintien de
l’activité et d’y accorder son attention.

Il est important de communiquer auprès du personnel quant aux bonnes pratiques : choix des mots de
passe, mise à jour des logiciels, sauvegardes, sécurisation des échanges, prudence lorsqu’il s’agit de BYOD…

Une aide extérieure (consulting d’une ESN) peut être utile dans le cadre de la rédaction du scénario de crise
sécuritaire. On peut penser à un Plan de Continuité d’Activité (PCA) qui préciserait les actions à mettre en
œuvre afin de poursuivre l’activité en mode dégradé en cas de risque concrétisé (évènement survenu).

Compléments d’information :
• Le RGPD intègre une obligation de sécurité (article 32) avec, en cas de manquement, des
sanctions pouvant atteindre jusqu’à 10 M€ ou 2 % du CA annuel mondial ;
• La sécurité doit être proportionnée aux risques (confidentialité, intégrité et disponibilité) ;
• Une violation du RGPD doit être signalée dans les 72 heures à la CNIL.

www.comptalia.com – 01 74 88 80 00 (Appel gratuit depuis un poste fixe)


© Comptalia.com - Ce corrigé est fourni à titre indicatif et ne saurait engager la responsabilité de Comptalia
Page 4 sur 9
Corrigé du DCG 2020
UE 5 – Management des SI
Le Meilleur de la formation en comptabilité-gestion à distance

10. Quelles actions de formation du personnel pourraient être mises en place et selon quelles
modalités ? (0,5 point)

En tant que DPO il est nécessaire de sensibiliser le personnel aux bonnes pratiques. Pour que les actions de
formation produisent du fruit, il est nécessaire de communiquer largement à ce sujet, et de recourir à des
« utilisateurs référents » (qui seront leaders d’opinion) et au sponsoring des dirigeants (afin d’appuyer la
légitimité du projet).

Dans le contexte de la COVID-19, on se tournera logiquement vers la FOAD (formation ouverte à distance), ce
qui implique de sécuriser les canaux de communication utilisés (double identification, etc.).

On pourra proposer des formations sur-mesure en fonction des rôles endossés (personnes responsables de
traitements…) afin de bien informer quant au RGPD et sanctions encourues en cas de manquement.

Compléments d’information :
La CNIL précise que le/la DPO doit bénéficier du soutien de l’organisme par l’apport des
ressources nécessaires, entre autres, à la réalisation des formations.

11. En cas de mise en place de formation à distance, quelles sont les précautions à prendre ?
(0,5 point)

Comme nous l’avons déjà évoqué, la FOAD (formation ouverte à distance) implique de sécuriser les canaux
de communication utilisés. À ce titre on peut préconiser la mise en place de :
• Gestion des mots de passe (complexité suffisante, délai de péremption et impossibilité de réutilisation) ;
• Solutions d’échange sécurisées (VPN, cryptographie…) ;
• Systèmes d’authentification forte ;
• Déploiement de bulles applicatives pour séparer sphères privée et publique sur poste familial ;
• Contrats précis (SLA) quant aux responsabilités des prestataires proposant les solutions dans le
nuage.

Par ailleurs l’assiduité et les progressions pourront être évaluées par la mesure des fréquences et durées de
connexions.

Compléments d’information :
L’employeur peut contrôler l’activité des salariés en télétravail si cela ne porte pas atteinte
aux droits et libertés des salariés et en respectant certaines règles. L’employeur doit toujours
justifier que les dispositifs mis en œuvre sont strictement proportionnés à l’objectif poursuivi
et ne portent pas atteinte excessive au respect des droits et libertés des salariés,
particulièrement le droit au respect de leur vie privée.

12. Quelles sont les obligations liées au RGPD au sein d’un cabinet d’expertise-comptable ? (1 point)

On pourra orienter les propos autour des thématiques suivantes :


• Grandes lignes du RGPD et glossaire associé : notions de « donnée personnelle », « responsable des
traitements (data controller) » et « sous-traitant (data processor) », etc. ;
• Sanctions encourues en cas de non-respect ;
• Responsabilités du cabinet selon son positionnement (sous-traitant…) ;
• Désignation et rôles du DPO ;
• Sécurité informatique : droits d’accès, hébergement des données (localisation du Datacenter) ;
• Recueil du consentement, mentions d’information et registre des traitements.

Compléments d’information :
Un des points sensibles concerne la délimitation des rôles du cabinet : est-il responsable, co-
responsable des traitements ou sous-traitant ? Si le cabinet détermine seul le traitement (il

www.comptalia.com – 01 74 88 80 00 (Appel gratuit depuis un poste fixe)


© Comptalia.com - Ce corrigé est fourni à titre indicatif et ne saurait engager la responsabilité de Comptalia
Page 5 sur 9
Corrigé du DCG 2020
UE 5 – Management des SI
Le Meilleur de la formation en comptabilité-gestion à distance

n’est pas mandaté par le client pour une commande particulière), il en est totalement
responsable.

13. Quelles sont les solutions informatiques possibles ? Vous mettrez en évidence les avantages et
les contraintes de chacune des solutions. (1 point)

Il est important de rappeler, dans un premier temps, que le RGPD insiste sur la sécurité informatique à mettre
en œuvre (droits d’accès, hébergement des données [localisation du Datacenter], etc.). Les choix technologiques
doivent donc s’inscrire dans une volonté d’être en conformité avec les obligations de sécurité précisées dans la
réglementation.

Dans tous les cas, on veillera à :


• Mettre en place un contrôle des droits d’accès ;
• Assurer une authentification forte et une bonne gestion des mots de passe ;
• Veiller aux utilisateurs nomades (code d’accès, verrouillage des sessions, ne pas utiliser de wifi public
ou clé USB prêtée, etc.) ;
• Former au bon usage des mails ;
• Etc.

Pour nombre de cabinets se pose la question du recours aux solutions en ligne : SaaS, progiciels « Full Web » ou
ERP Cloud… le recours à un Datacenter impose de porter une attention particulière au lieu d’hébergement.

Avantages Inconvénients
Solutions en Hébergement des données conforme au Nécessite des compétences en interne
interne RGPD (situation géographique) Formations à déployer et renouveler
Meilleure continuité d’activité si maîtrise de Sécurité physique à assurer
l’infrastructure
Solutions Obligation de résultat du prestataire (SLA) Localisation des données hébergées ?
hébergées Mise en concurrence (benchmarking) et Normes de sécurité mises en œuvre ?
[re]négociation des contrats Temps de rétablissement en cas d’incident ?

Compléments d’information :
La crise pandémique a mis en évidence la nécessité d’assurer une continuité d’activité et un
plan de reprise des opérations.

14. Comment mettre en œuvre les obligations liées au RGPD chez les clients d’un cabinet d’expertise-
comptable ? Quelles sont les préconisations de l’Ordre des experts-comptables en la matière ?
(1 point)

Un cabinet d’expertise-comptable doit s’assurer de la protection des données internes et externes (celles du
client). Il doit dès lors dans chaque situation discerner quel est son rôle :
• Data Controller (responsable de traitement) - il doit s’assurer du respect des critères du RGPD dans ses
usages ;
• Data Processor (sous-traitant) lorsqu’il s’agit de manipuler les données de ses clients, ce qu’il doit aussi
faire en conformité avec le RGPD.

Dans ce contexte l’Ordre des experts comptables incite les cabinets d’expertise-comptable à revoir leurs contrats
avec leurs clients en incluant dans leurs lettres de mission de nouvelles clauses sur la responsabilité
des traitements des données personnelles.

Compléments d’information :
Ils peuvent aussi proposer à leurs clients une nouvelle mission d’accompagnement et de
conseil dans la mise en place du RGPD avec le DPO.

www.comptalia.com – 01 74 88 80 00 (Appel gratuit depuis un poste fixe)


© Comptalia.com - Ce corrigé est fourni à titre indicatif et ne saurait engager la responsabilité de Comptalia
Page 6 sur 9
Corrigé du DCG 2020
UE 5 – Management des SI
Le Meilleur de la formation en comptabilité-gestion à distance

15. Quelles sont les règles à respecter lors d’une communication par newsletter utilisant une mailing-
list ? (1 point)

Il est nécessaire en ce qui concerne la personne ciblée de :


• Lui mentionner clairement la finalité de la collecte ;
• S’assurer de son consentement explicite ;
• Mentionner comment modifier ses coordonnées ou se désinscrire facilement ;
• Ne pas l’inscrire d’office, précocher des cases, etc.

Compléments d’information :
La CNIL recommande l’usage du « double Opt-in » (double confirmation d’inscription) permet
d’avoir la preuve du consentement des nouveaux abonnés à la newsletter.

16. Quelles sont les avancées majeures proposées par le nouveau système d’information ? (1 point)

Le nouveau SI « dispose de six modules (…) interconnectés à une base de données unique qui est le pivot du
système et qui lui permet d’être plus réactif et plus homogène que l’ancien ». Ces avancées en termes
d’intégration vont favoriser la cohérence des données (absence de doublon, données actualisées, SI unifié, etc.)
et fluidifier la circulation de l’information, car les modules sont interconnectés au même système.

On dispose donc d’un SI plus


• Performant, pour les acteurs métiers et clients ;
• Sécurisé, car la solution est maintenue et mise à jour par un leader du domaine ;
• Urbanisé et évolutif, par une architecture conçue pour des évolutions dans les deux sens (retrait ou
ajout de modules) et la possibilité de recourir à des interfaces pour communiquer avec d’autres
applications et progiciels du SI.

Le mode SaaS peut faciliter la maîtrise des coûts (consommation à la demande) et la maintenance des
solutions, dont est responsable le prestataire.

Un tel déploiement doit s’accompagner d’une conduite du changement (information, formation et assistance)
et nécessite une attention particulière dans le paramétrage de la solution (reprise et nettoyage des données,
paramétrage en tandem consultant + opérationnel, tests itératifs…).

Compléments d’information :
Il n’est pas précisé ici quelles applications du Legacy (SI patrimonial) sont conservées. Quid
des applicatifs présents dans les silos mentionnés ? Sont-ils sollicités par les acteurs qui
contournent le SI dans sa nouvelle mouture ?

17. Comment structurer votre propos et vos séances pour faire passer vos messages dans chacun des
deux séminaires (end-user et key-user) ? (2 points)

Il est fait mention dans la question de l’organisation de deux séminaires destinés à des publics différents. On
pourra donc proposer d’aborder les points suivants :

www.comptalia.com – 01 74 88 80 00 (Appel gratuit depuis un poste fixe)


© Comptalia.com - Ce corrigé est fourni à titre indicatif et ne saurait engager la responsabilité de Comptalia
Page 7 sur 9
Corrigé du DCG 2020
UE 5 – Management des SI
Le Meilleur de la formation en comptabilité-gestion à distance

Idées abordées Remarques


END USER • Bénéfices individuels et collectifs de • Formation centrée sur l’usage au quotidien
l’usage du SI • Utilisateurs peut-être réticents au changement
• Pourquoi ne pas « contourner » le SI de leurs métiers/peu à l’aise avec l’outil :
• Le partenariat avec les KEY USERS féliciter et rassurer pour obtenir l’adhésion

KEY USER • Responsabilités • Formation liée à leur rôle d’accompagnateur du


• Participation au développement d’un changement
centre de compétences • Remercier et encourager l’initiative
• La posture de formateur et de
facilitateur du changement

Compléments d’information :
• Dans tous les cas, il s’agit d’unifier le personnel autour de l’usage de l’ERP (et non de diviser).
Dès lors, une attention particulière doit être apportée à la forme du message et au recueil des
ressentis des intervenants.

18. Quelle conclusion pourriez-vous proposer lors de ce double séminaire afin de montrer le bien-
fondé de cette migration vers un ERP ? (1 point)

On pourra démontrer, d’une façon logique, les apports du nouveau système en termes d’intégration, de
performance, etc. en illustrant nos propos par un cas pratique (simulation d’un processus avant/après – taux
d’erreurs, bénéfices mesurables en termes de qualité/coûts/délais…).

Des témoignages d’utilisateurs finaux ayant accepté le changement peuvent rassurer d’autres utilisateurs
quant à la possibilité de progresser et changer de posture.

Il est important que tous les acteurs se sentent épaulés par la direction (implication du management, des
décisionnaires) et écoutés, quels que soient leurs sentiments.

Complément d’information :
• Ce séminaire ne peut à lui seul porter du fruit. La communication et l’accompagnement doivent
s’inscrire dans des processus pérennes.

19. Quelles sont les cinq questions que vous aimeriez poser (individuellement et en face à face) à vos
employeurs pour évaluer leur niveau d’information en termes de sécurité du « SI » ? (1 point)

L’objectif étant de jauger le « niveau d’information et de vigilance », on pourra poser ces cinq questions :
• Quelles sont les attaques les plus courantes ?
• D’où proviennent d’après vous ces attaques ? Quelles erreurs involontaires peuvent provoquer des
dégâts sur le SI ?
• Quelles sont les meilleures protections existantes ? Qu’est-ce qui actuellement ne fonctionne pas et
pourquoi ?
• Qui est responsable de la sécurité du SI ?
• D’après vous, comment s’assurer continuellement de la sécurité du SI ?

Complément d’information :
• Pour éviter un « biais par le oui » dans les réponses, il faut éviter des questions fermées
administrées par mail. Un entretien sur la base de questions ouvertes apportera plus de sens
à l’échange.
• La posture de l’interviewer est importante : il ne doit pas laisser entendre que l’enquête porte
sur des manquements ou une absence de crédibilité des dirigeants !

www.comptalia.com – 01 74 88 80 00 (Appel gratuit depuis un poste fixe)


© Comptalia.com - Ce corrigé est fourni à titre indicatif et ne saurait engager la responsabilité de Comptalia
Page 8 sur 9
Corrigé du DCG 2020
UE 5 – Management des SI
Le Meilleur de la formation en comptabilité-gestion à distance

20. Comment pourriez-vous traiter et exploiter leurs réponses afin d’améliorer la sécurité du « SI »
du cabinet ? (1 point)

L’analyse des réponses permettra de construire une formation annuelle adaptée. Il semble nécessaire de
réaliser cette enquête chaque année à la même période et d’évaluer la progression dans les réponses tout
en adaptant le questionnaire aux prérogatives du moment. En fonction des résultats, on pourra :
• Proposer des formations individualisées selon les besoins : usage des outils, bonnes pratiques (mots
de passe, etc.) ;
• Organiser des interventions ultérieures de prestataires spécialisés (audits du SI) ;
• Illustrer par des cas pratiques tirés d’expériences de cabinets d’expertise-comptable.

Complément d’information :
• Il sera nécessaire d’affiner chaque année le questionnaire pour le rendre plus pertinent.

www.comptalia.com – 01 74 88 80 00 (Appel gratuit depuis un poste fixe)


© Comptalia.com - Ce corrigé est fourni à titre indicatif et ne saurait engager la responsabilité de Comptalia
Page 9 sur 9

Vous aimerez peut-être aussi