5. Cybersécurité 5.3. Sécurité informatique et de l'information

Règlement délégué (UE) 2024/436 de la Commission du 20 octobre 2023 complétant le règlement (UE) 2022/2065 du Parlement européen et du Conseil en établissant des règles concernant la réalisation d’audits pour les très grandes plateformes en ligne et les très grands moteurs de recherche en ligne

LA COMMISSION EUROPÉENNE,

• vu le traité sur le fonctionnement de l’Union européenne,
• vu le règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE (règlement sur les services numériques) (1), et notamment son article 37, paragraphe 7,

considérant ce qui suit:

(1) Les audits indépendants constituent un outil important pour surveiller le respect, par les fournisseurs de très grandes plateformes en ligne et de très grands moteurs de recherche en ligne, des obligations qui leur incombent au titre du règlement (UE) 2022/2065. Alors que d’autres outils en matière d’obligation de rendre des comptes sont prévus dans ledit règlement, notamment par l’intermédiaire d’un contrôle public renforcé des rapports de transparence et d’autres exigences en matière de divulgation de données, les organismes d’audit indépendants jouent un rôle particulier dans l’évaluation précoce du respect du règlement par les fournisseurs de ce type. Les conclusions et constatations de ces audits indépendants ainsi que leurs recommandations peuvent servir de base utile à la surveillance réglementaire. Dans le même temps, les audits indépendants constituent l’une des sources d’information et d’analyse que les régulateurs peuvent utiliser dans leur rôle de surveillance et d’exécution.

(2) Afin de garantir que les audits indépendants sont réalisés de manière efficace, efficiente, comparable et en temps utile à compter de la date d’application du règlement (UE) 2022/2065, telle que définie aux articles 92 et 93 dudit règlement, il convient que la Commission établisse des règles relatives à la réalisation des audits, notamment en ce qui concerne les obligations légales des fournisseurs audités et les étapes procédurales visant à garantir que les organismes réalisant les audits remplissent les conditions d’indépendance, d’absence de conflit d’intérêts, d’expertise et d’éthique professionnelle énoncées à l’article 37, paragraphe 3, du règlement (UE) 2022/2065.

(3) Afin de faciliter la bonne exécution des audits avec un niveau élevé d’expertise et de prévenir les conséquences indésirables sur le marché des services d’audit, il convient de préciser que les audits effectués conformément à l’article 37 du règlement (UE) 2022/2065 peuvent être réalisés par plusieurs auditeurs. En tant que de besoin, s’il est par exemple nécessaire de disposer d’une expertise particulière pour auditer certaines obligations ou certains engagements, comme dans le domaine de la conception et du fonctionnement des systèmes algorithmiques, de la compréhension des risques pour les droits fondamentaux ou du risque que présente la diffusion de contenus illicites, le fournisseur audité peut engager différents organismes d’audit, ou un consortium d’organismes, pour effectuer l’audit. Les organismes d’audit peuvent également s’adresser à des sous-traitants possédant l’expertise nécessaire, à condition que tant ces derniers que l’organisme d’audit respectent les conditions impératives en matière d’indépendance, d’absence de conflit d’intérêts ainsi que d’objectivité et d’éthique professionnelle avérées, et qu’ils respectent conjointement les conditions relatives à l’expertise technique. Dans de tels cas, le fournisseur audité devrait toujours veiller à ce que le respect de l’ensemble des obligations et engagements mentionnés à l’article 37, paragraphe 1, du règlement (UE) 2022/2065 fasse l’objet d’un audit au moins une fois par an.

(4) Les avis d’audit mentionnés à l’article 37, paragraphe 4, point g), dudit règlement (UE) 2022/2065 devraient être établis par des organismes d’audit ayant un niveau d’assurance raisonnable. Pour atteindre un niveau d’assurance raisonnable, l’organisme d’audit doit avoir un niveau de confiance élevé, mais non absolu, dans le fait qu’il n’y a pas eu d’inexactitudes, telles que des omissions, des déclarations erronées ou des erreurs, qui n’ont pas été détectées lors de l’audit. Pour garantir ce niveau d’assurance, l’organisme d’audit devrait, entre autres, obtenir des éléments probants suffisants et utiliser des méthodes d’audit appropriées dans son évaluation.

(5) Au titre de l’article 37, paragraphe 1, du règlement (UE) 2022/2065, des audits indépendants devraient être réalisés au moins une fois par an, conformément au cycle annuel d’évaluation des risques prévu à l’article 34 dudit règlement. Toutefois, des audits plus fréquents peuvent s’avérer nécessaires dans certains cas. L’ordre de déroulement des audits devrait permettre une surveillance continuelle du respect, par les fournisseurs audités, du règlement (UE) 2022/2065 et des codes de conduite et protocoles de crise pertinents. Le fournisseur audité devrait veiller à ce que la période pendant laquelle un audit donné évalue le respect des obligations et engagements audités suive la période couverte par l’audit précédent portant sur le respect de ces obligations et engagements par le fournisseur et commence au plus tard à l’expiration de la période couverte par l’audit précédent. Étant donné que la conclusion d’un audit comprend à la fois l’évaluation effectuée par l’organisme d’audit et l’établissement d’un rapport d’audit, les fournisseurs audités devraient veiller à ce que la durée de l’audit permette de conclure des audits au moins une fois par an et que la présentation des rapports d’audit à la Commission et au coordinateur pour les services numériques s’effectue dans les meilleurs délais, conformément à l’article 42, paragraphe 4, du règlement (UE) 2022/2065.

(6) Bien que les fournisseurs audités ne doivent en aucun cas interférer avec la réalisation de l’audit et avec ses conclusions, ils devraient respecter les obligations qui leur incombent au titre de l’article 37 du règlement (UE) 2022/2065, notamment en convenant de conditions contractuelles avec l’organisme d’audit et en vérifiant, avant de sélectionner un organisme d’audit, que celui-ci remplit les conditions énoncées à l’article 37, paragraphe 3, du règlement (UE) 2022/2065.

(7) Le fournisseur audité devrait, par exemple, évaluer les contrats qu’il a précédemment conclus avec l’organisme d’audit ou les contrats conclus entre l’organisme d’audit et les personnes morales liées au fournisseur audité. Le fournisseur audité devrait également inclure dans les contrats conclus avec des organismes d’audit des clauses garantissant le respect des conditions énoncées à l’article 37, paragraphe 3, du règlement (UE) 2022/2065. Lorsque l’organisme d’audit se compose de plusieurs entités, le fournisseur audité devrait s’assurer que toutes ces entités remplissent ces conditions, y compris, le cas échéant, tout sous-traitant engagé par l’organisme d’audit afin de soutenir la réalisation de l’audit de quelque manière que ce soit. Alors que chaque entité effectuant l’audit devrait satisfaire individuellement aux exigences d’indépendance et aux exigences relatives à l’absence de conflit d’intérêts, ces entités devraient satisfaire conjointement aux exigences relatives à la compétence, à l’expertise ou aux ressources techniques, ce qui permettrait à différentes entités d’effectuer différentes parties de l’audit et d’apporter les capacités, les compétences et l’expertise nécessaires à la réalisation de l’audit. Le rapport d’audit devrait préciser la responsabilité de chacune de ces entités pour les différentes parties de l’audit.

(8) Conformément à l’article 37, paragraphe 3, point a) i), du règlement (UE) 2022/2065, lorsque le fournisseur audité vérifie si un organisme d’audit respecte les exigences en matière d’indépendance et les exigences relatives à l’absence de conflit d’intérêts, il devrait veiller tout particulièrement à éviter que l’organisme d’audit ne lui fournisse des services autres que d’audit. Le fournisseur audité devrait, par exemple, évaluer si lui ont été fournis des services tels que ceux liés à un système, à un logiciel ou à un processus intervenant dans des questions en rapport avec l’obligation ou l’engagement audités, comme des services de conseil pour l’évaluation des performances, de la gouvernance et des logiciels, des services de formation, le développement ou la maintenance de systèmes, ou la modération des contenus en sous-traitance. De tels services comprennent également les services fournis au fournisseur audité qui consistent à offrir des services de conseil en matière de contrôle interne ou à mettre en place ce type de contrôle, ou à évaluer, à des fins internes, le respect, par le fournisseur audité, du règlement (UE) 2022/2065 ou des codes de conduite et protocoles de crise, y compris lorsque cela se limite à des tests ponctuels, tels que des tests sur la performance des systèmes de modération de contenu effectués par des tiers. Cela ne devrait pas exclure les organismes d’audit qui ont effectué des contrôles légaux de documents comptables.

(9) Compte tenu de la complexité et de la nature particulière des audits de conformité dans le cadre du règlement (UE) 2022/2065, l’expertise thématique de l’organisme d’audit est essentielle pour réaliser des audits avec un niveau d’assurance raisonnable et pour exercer le jugement professionnel et l’esprit critique permettant à cet organisme de savoir, par exemple, de quelles informations il a besoin pour exécuter les procédures d’audit ou pour contester des informations contradictoires. Le fournisseur audité devrait par conséquent vérifier si l’organisme d’audit dispose d’une telle expertise, y compris dans le domaine de la gestion des risques, tant en ce qui concerne les risques d’audit que l’objet du règlement (UE) 2022/2065 et, en particulier, les risques systémiques pour la société mentionnés à l’article 34 dudit règlement. En outre, le fournisseur audité devrait vérifier la compétence et les capacités techniques de l’organisme d’audit au regard du service spécifique audité, y compris son expertise en matière thématique, par exemple en ce qui concerne le fonctionnement et les effets des systèmes algorithmiques tels que les systèmes de recommandation et d’autres systèmes sociotechniques gérés par le fournisseur. L’organisme d’audit devrait avoir la possibilité de sous-traiter ou d’obtenir et de déployer d’une autre manière l’expertise et les capacités nécessaires, et le fournisseur audité devrait vérifier que l’organisme d’audit soit en mesure d’acquérir cette expertise et ces capacités en temps utile pour la réalisation de l’audit et s’en assurer.

(10) Lorsqu’il vérifie que les organismes d’audit remplissent les conditions énoncées à l’article 37, paragraphe 3, du règlement (UE) 2022/2065, le fournisseur audité devrait évaluer les éléments probants pertinents, y compris, le cas échéant, les certifications, déclarations et rapports d’audit délivrés par l’organisme d’audit. La preuve de l’expertise appropriée pourrait être apportée, par exemple, par des expériences pratiques en matière d’évaluation et de gestion des risques, ainsi que par des activités universitaires, des publications scientifiques et une expérience des audits pertinents. Les rapports d’audit devraient contenir tous les documents justificatifs pertinents attestant que l’organisme d’audit remplit les conditions requises.

(11) Conformément à l’article 37, paragraphe 2, du règlement (UE) 2022/2065, le fournisseur audité accorde à l’organisme d’audit toute la coopération et l’assistance nécessaires pour lui permettre de réaliser l’audit en temps utile, de manière efficace et efficiente, et s’abstient également d’interférer de quelque manière que ce soit avec les décisions indépendantes de l’organisme d’audit. Par exemple, le fournisseur audité ne devrait rien imposer à l’organisme d’audit, ni lui donner d’orientations ni l’influencer d’une autre manière, par quelque restriction ou incitation contractuelle ou autre que ce soit, en ce qui concerne son choix des procédures et méthodes d’audit et leur exécution, la collecte et le traitement d’informations et d’éléments probants, les analyses, les tests, les avis d’audit ou l’élaboration des conclusions d’audit.

(12) Afin de garantir la coopération et l’assistance requises au cours de l’audit, le fournisseur audité devrait veiller à ce que l’organisme d’audit se voie accorder l’accès à toutes les informations nécessaires à la réalisation de l’audit. Le fournisseur audité devrait fournir dès que possible et, en tout état de cause, avant que l’organisme d’audit ne commence à exécuter les procédures d’audit, tous les documents et explications nécessaires. Par exemple, conformément à l’article 41, paragraphe 3, points d) et e), du règlement (UE) 2022/2065, la fonction de contrôle de la conformité du fournisseur audité consiste à contrôler le respect de l’ensemble des obligations et engagements audités, ce qui devrait aboutir à l’élaboration de certains contrôles internes.

L’organisme d’audit devrait donc avoir accès à toutes les informations relatives à ces contrôles, ainsi qu’à toute autre information décrivant la stratégie du fournisseur audité pour veiller à la conformité. En particulier, le fournisseur audité devrait mettre à la disposition de l’organisme d’audit les critères de référence sur lesquels il s’appuie pour garantir le respect du règlement (UE) 2022/2065, de sorte que l’organisme d’audit puisse fonder les critères d’audit sur ces informations. En outre, l’organisme d’audit devrait avoir accès à toute analyse que le fournisseur audité aurait pu effectuer en ce qui concerne les risques inhérents et les risques de non-contrôle. Ce fournisseur devrait mettre à la disposition de l’organisme d’audit des informations qui facilitent la compréhension du service audité, sa gouvernance, la compétence des équipes et des structures décisionnelles respectives, y compris sa fonction de contrôle de la conformité, ainsi que les présentations de ses systèmes informatiques, de ses structures de données et d’enregistrements, et l’interaction entre les différents systèmes algorithmiques pertinents pour l’audit.

(13) L’organisme d’audit devrait pouvoir demander, à tout moment au cours de la réalisation de l’audit, toute autre information nécessaire. L’accès à ces informations devrait être accordé dans les meilleurs délais et d’une manière qui n’entrave nullement la réalisation de l’audit. Cela devrait inclure l’accès aux données, y compris les données à caractère personnel, collectées auprès de différentes sources, telles que des documents, des systèmes algorithmiques, des bases de données ou des entretiens, le cas échéant. Le fournisseur audité devrait également accorder à l’organisme d’audit l’accès aux procédures et processus, aux systèmes informatiques, tels que les systèmes algorithmiques et d’information, y compris les environnements de test. Afin de permettre à l’organisme d’audit d’effectuer des inspections en bonne et due forme de ces systèmes, le fournisseur audité devrait mettre à disposition toutes les ressources nécessaires pour aider l’organisme d’audit à accéder aux systèmes et à les évaluer, par exemple en mettant à disposition le personnel compétent du fournisseur pour répondre aux questions ou permettre l’utilisation des environnements de test et fournir des explications sur leur fonctionnement, ou faciliter tout autre accès nécessaire au personnel et aux locaux, tels que les bâtiments. L’accès aux procédures et processus pourrait impliquer, par exemple, l’accès aux descriptions ou aux documents concernant le processus décisionnel interne du fournisseur audité. L’accès aux informations pertinentes peut également nécessiter que le fournisseur audité adopte d’autres mesures accessoires afin de remplir son obligation de coopération et d’assistance. Il se peut, par exemple, que les entretiens avec le personnel doivent être organisés dans des installations sécurisées mises à disposition par le fournisseur audité. Lorsque cela est nécessaire à la réalisation de l’audit, les fournisseurs audités devraient s’acquitter de l’obligation de coopération et d’assistance à l’égard de l’organisme d’audit, notamment en facilitant l’accès aux données pertinentes relatives à leurs activités détenues par leurs contractants tiers. Tel pourrait être le cas, par exemple, des résultats des mesures de modération des contenus, du matériel de formation ou des orientations utilisés par des contractants tiers qui modèrent le contenu, ou par des fournisseurs et des prestataires de services pour des solutions informatiques, y compris, par exemple, les algorithmes et les applications utilisés dans les systèmes de recommandation ou les systèmes de publicité utilisés par le fournisseur audité.

(14) Afin de favoriser une véritable transparence des conclusions tirées de l’audit et de fournir un format complet et comparable pour les rapports d’audit prévus à l’article 37, paragraphe 4, du règlement (UE) 2022/2065 et pour les rapports de mise en oeuvre des recommandations d’audit prévus à l’article 37, paragraphe 6, dudit règlement, le présent règlement devrait établir les modèles de ces rapports et exiger l’ajout de certaines annexes pour chacun des rapports. Bien que les modèles établis dans le présent règlement exigent de faire rapport de manière exhaustive, ils ne devraient pas avoir d’incidence sur les exigences en matière de publication des rapports prévues à l’article 42, paragraphes 4 et 5, du règlement (UE) 2022/2065.

(15) Afin que l’organisme d’audit reçoive toute l’assistance nécessaire de la part du fournisseur audité, sans ingérence de la part de ce dernier dans la réalisation de l’audit, remplisse toutes les conditions pour la préparation de l’audit et communique le rapport d’audit en temps utile et avec la qualité nécessaire pour atteindre un niveau d’assurance raisonnable, les procédures de préparation de l’audit devraient être assorties de certaines règles. Les tâches et responsabilités du fournisseur audité et de l’organisme d’audit, y compris de tous les sous-traitants ou organismes partenaires et du personnel chargé de la réalisation de l’audit, devraient faire l’objet d’un accord écrit, y compris de clauses contractuelles. L’accord écrit devrait également préciser les obligations et engagements audités, la répartition des ressources, et les règles pour l’interaction et les points de contact entre l’organisme d’audit et le fournisseur audité. Tous les documents justificatifs et tous les contrats devraient être joints au rapport d’audit, y compris lorsque les documents prennent la forme d’une lettre de mission d’audit ou d’autres clauses contractuelles.

(16) Afin de fournir une vue d’ensemble complète et de permettre aux fournisseurs audités de s’acquitter plus facilement de leur obligation de rendre des comptes, le rapport d’audit devrait contenir une conclusion de l’organisme d’audit quant à l’évaluation du respect, par le fournisseur audité, de chaque obligation ou engagement audité. Chaque conclusion d’audit devrait être fondée sur un niveau d’assurance raisonnable et être soit «positive», soit «positive assortie de commentaires», soit «négative», afin de servir de base appropriée à l’avis d’audit. Les conclusions qui sont «positives assorties de commentaires» ne devraient pas concerner l’évaluation de la conformité proprement dite. Ces commentaires pourraient porter, par exemple, sur la communication d’informations par le fournisseur à la demande de l’organisme d’audit, ou sur les améliorations apportées à la maintenance ou aux contrôles mis en place par le fournisseur audité, ou faire référence à des plans d’atténuation et à des améliorations supplémentaires que le fournisseur compte introduire. En tout état de cause, lorsque l’organisme d’audit estime que le fournisseur audité respecte une obligation ou un engagement audité en fonction des critères de référence communiqués par ce fournisseur, mais estime nécessaire d’inclure des observations sur ces critères de référence, la conclusion de l’audit devrait être «positive assortie de commentaires», car ces commentaires pourraient apporter au fournisseur des informations utiles sur d’éventuelles modifications à apporter à ses critères de référence, sur la base des connaissances et de l’expertise de l’organisme d’audit, ainsi que d’informations provenant de sources externes. Par exemple, les observations pourraient être étayées par des orientations de la Commission, y compris au moyen des lignes directrices de la Commission prévues à l’article 35, paragraphe 3, du règlement (UE) 2022/2065, et de toute autre ligne directrice pertinente publiée par la Commission en ce qui concerne l’application dudit règlement, des rapports du comité européen des services numériques prévus à l’article 35, paragraphe 2, dudit règlement, des mesures d’exécution, des décisions prises par la Commission en vertu dudit règlement, de la jurisprudence pertinente, en particulier de la Cour de justice de l’Union européenne, de consultations publiques ou de sources faisant autorité pertinentes.

(17) Afin de permettre le contrôle public et réglementaire, lorsqu’une conclusion d’audit est «négative» mais ne s’applique que pour une période limitée et que l’organisme d’audit estime que le fournisseur audité a respecté l’obligation ou l’engagement pour le reste de la période auditée, cela devrait apparaître dans le rapport d’audit pour chaque obligation ou engagement concerné. Le rapport devrait inclure les observations de l’organisme d’audit sur toute information mise à sa disposition par le fournisseur audité en ce qui concerne les plans d’atténuation mis en place ou prévus pour remédier aux non-conformités.

(18) Compte tenu de la nature différente des obligations légales énoncées au chapitre III du règlement (UE) 2022/2065 et des engagements volontaires pris au titre des codes de conduite et des protocoles de crise en vertu des articles 45, 46 et 48 dudit règlement, l’organisme d’audit devrait émettre des avis d’audit sur le respect dudit chapitre et de chaque code et protocole.

(19) Afin de réaliser l’audit avec un niveau d’assurance raisonnable et de concevoir les procédures d’audit appropriées selon des méthodes permettant de réduire le risque d’audit à un niveau peu élevé, un élément essentiel de la méthode utilisée pour réaliser l’audit devrait être l’estimation des risques d’audit, à savoir le risque que l’organisme d’audit émette un avis d’audit inapproprié ou qu’il formule une conclusion d’audit inappropriée. Par conséquent, l’organisme d’audit devrait évaluer le risque d’audit au tout début de l’audit, avant qu’il ne conçoive la méthode précise et qu’il n’exécute les procédures d’audit. L’analyse du risque d’audit est nécessaire pour permettre à l’organisme d’audit de sélectionner les méthodes précises à utiliser pour réaliser l’audit et de déterminer le niveau d’exhaustivité que doivent comporter les procédures d’audit pour atteindre un niveau d’assurance raisonnable pour l’avis d’audit. L’organisme d’audit devrait effectuer l’analyse du risque d’audit aux fins de l’évaluation du respect de chaque obligation ou engagement audité, en tenant compte des risques inhérents, des risques de non-contrôle et des risques de non-détection.

(20) Afin d’évaluer correctement les risques d’audit, l’analyse du risque d’audit devrait tenir compte de la nature du service audité, notamment de son profil de risque, et de la portée et de la complexité de l’audit. Il est par exemple probable que les plateformes en ligne qui permettent de conclure des contrats à distance entre consommateurs comporteront des risques inhérents différents de ceux des plateformes de partage de vidéos ou des moteurs de recherche. En outre, le contexte sociétal et économique dans lequel le service audité est fourni devrait être pris en considération, par exemple en ce qui concerne des groupes typiques d’utilisateurs, tels que les mineurs, ou des comportements fréquents, tels qu’un taux élevé d’utilisation non authentique du service et des comportements coordonnés lors de campagnes de désinformation. Le contexte sociétal et économique à prendre en considération devrait également inclure la probabilité et, indépendamment, la gravité de l’exposition à des situations de crise et à des événements imprévus, tels que visés dans le règlement (UE) 2022/2065.

(21) Afin de garantir que l’analyse du risque d’audit reflète l’évolution des risques auxquels le service est exposé, l’analyse du risque d’audit devrait également se fonder sur des informations provenant des audits dont le fournisseur audité a précédemment fait l’objet, le cas échéant, et s’appuyer sur des informations provenant de sources telles que des rapports d’audit d’autres fournisseurs présentant un profil de risque similaire. Afin que l’analyse du risque d’audit soit pleinement éclairée par les éléments probants les plus récents en ce qui concerne les risques dans des contextes similaires à ceux dans lesquels le fournisseur audité opère, et par des sources faisant autorité directement pertinentes pour l’application du règlement (UE) 2022/2065, l’analyse devrait également s’appuyer sur des informations provenant de rapports publiés par le comité européen des services numériques ou de lignes directrices de la Commission, le cas échéant. Les rapports d’audit publiés conformément à l’article 42, paragraphe 4, du règlement (UE) 2022/2065 par d’autres fournisseurs de très grandes plateformes en ligne ou de très grands moteurs de recherche en ligne pourraient également constituer une source d’information.

(22) L’organisme d’audit devrait élaborer, sans subir aucune influence de la part du fournisseur audité, les méthodes d’audit utilisées pour évaluer le respect des obligations et engagements audités. Les critères d’audit devraient être fondés sur les informations fournies par le fournisseur audité en ce qui concerne les critères de référence utilisés par ce fournisseur pour assurer le contrôle du respect de la conformité. La méthode peut également prendre en considération d’autres informations mises à disposition par le fournisseur, telles que l’analyse des risques inhérents, lorsqu’une telle analyse a été effectuée par le fournisseur audité, par exemple au moyen de mesures élaborées par le responsable de la conformité ou l’organe de direction conformément à l’article 41 du règlement (UE) 2022/2065, ou au moyen d’autres mesures intégrées dans le fonctionnement du service pour l’évaluation des risques systémiques prévue à l’article 34 dudit règlement.

(23) Afin que les méthodes d’audit permettent d’atteindre un niveau d’assurance raisonnable pour les avis d’audit, le choix de la méthode pour les procédures d’audit devrait tenir compte des particularités de l’obligation ou de l’engagement audité et devrait être adapté, par exemple, à la nature de l’obligation auditée, selon qu’il s’agit d’une obligation de moyens ou d’une obligation de résultat que le fournisseur doit remplir pour respecter les règles. À titre d’exemple, des procédures d’audit visant à évaluer le respect des obligations en matière de rapports de transparence prévues à l’article 15 du règlement (UE) 2022/2065 pourraient permettre à l’organisme d’audit de déterminer si les rapports ont été publiés dans les délais et selon les formats imposés par ledit règlement, s’ils étaient complets et si les données qu’ils contenaient étaient exactes, représentatives et correctement ventilées, par exemple par catégorie de contenu illicite.

(24) Le choix de la méthode devrait également se faire en fonction de la question de savoir si l’organisme d’audit doit procéder à des interprétations contextuelles pour vérifier le respect des règles. Ce choix devrait également être adapté aux risques inhérents aux activités menées dans le cadre de la fourniture du service et du contexte dans lequel ce service est fourni, par exemple si le service comprend la vente de biens susceptibles d’être illicites ou s’il est principalement utilisé par des mineurs. Par exemple, les méthodes visant à évaluer le respect des obligations imposant la mise en place de mesures appropriées et proportionnées pour garantir un niveau élevé de protection de la vie privée, de sûreté et de sécurité des mineurs, comme prévu à l’article 28, paragraphe 1, du règlement (UE) 2022/2065, devraient permettre à l’organisme d’audit d’avoir une compréhension suffisante de la manière dont les mineurs utilisent le service audité et des risques d’atteinte à leur vie privée, leur sûreté et leur sécurité que celui-ci peut présenter, ainsi que de ce qui constitue une mesure appropriée et proportionnée dans le contexte spécifique du service audité et de son utilisation par les mineurs. À cette fin, les organismes d’audit devraient décomposer l’évaluation en étapes appropriées. Ils devraient évaluer les risques d’audit en fonction du profil de risque du fournisseur audité, notamment si le service est disponible pour les mineurs ou principalement utilisé par ceux-ci. Ils devraient, par exemple, évaluer si le fournisseur a mis en place des outils de vérification de l’âge, si ceux-ci sont efficaces et comment le fournisseur audité évalue et contrôle leur efficacité. Ils devraient déterminer si le fournisseur audité a mis en place des mesures appropriées pour détecter une utilisation de son service avec exemples contradictoires et les schémas comportementaux destinés à nuire aux mineurs ou susceptibles de le faire.

(25) Le choix des méthodes devrait être adapté aux risques de non-contrôle liés aux mesures de conformité mises en place par le fournisseur audité, ainsi qu’aux risques de non-détection, c’est-à-dire le risque que l’organisme d’audit ne détecte pas des inexactitudes dans les informations que le fournisseur met à sa disposition. Par exemple, lorsqu’une obligation auditée comprend l’audit d’un système algorithmique fondé sur la personnalisation du service audité pour chacun de ses destinataires et sur des mises à jour récurrentes du système algorithmique, comme c’est le cas des obligations d’information applicables aux systèmes de recommandation énoncées à l’article 27 du règlement (UE) 2022/2065, le choix de la méthode devrait permettre à l’organisme d’audit de mettre au point les tests appropriés pour réduire au minimum les risques de non-détection. De même, lorsque l’organisme d’audit cherche à évaluer si tous les risques pertinents ont été atténués dans la conception, le fonctionnement et l’utilisation d’applications fondées sur des modèles linguistiques à grande échelle, tels que des fonctionnalités de discussion ou des systèmes de recommandation déployés par le fournisseur audité, l’organisme d’audit devrait d’abord évaluer le caractère approprié des contrôles mis en place par le fournisseur. Le choix des tests devrait se faire en fonction de la solidité de ces contrôles internes. En particulier, à titre d’exemple, lorsque les contrôles internes ne sont pas stricts ni complets ou qu’ils ne permettent pas de conclure si les règles sont respectées au regard de l’ensemble des destinataires du service audité, les procédures d’audit devraient s’appuyer sur une combinaison de méthodes. Ces méthodes pourraient comprendre, par exemple, des procédures analytiques de corroboration, telles que l’analyse des interactions entre tous les systèmes algorithmiques intervenant dans les systèmes de recommandation, des règles et processus de prise de décision connexes visant à définir les principaux paramètres de ces systèmes de recommandation, ainsi que l’examen des enregistrements numériques et des fichiers journaux. Les méthodes devraient également comprendre des tests du système, tels que des tests en environnements simulés.

(26) Pour faire en sorte que la méthode soit pertinente et adaptée aux nouvelles constatations établies au cours de l’audit, le choix des méthodes devrait être guidé par le jugement professionnel de l’organisme d’audit et devrait être ajusté afin de répondre à ces nouvelles constatations, en particulier lorsque l’organisme d’audit a des doutes raisonnables quant aux informations communiquées par le fournisseur audité. L’organisme d’audit devrait faire preuve d’un esprit critique fondé sur son expertise ainsi que sur d’autres sources d’information particulièrement pertinentes pour l’application du règlement (UE) 2022/2065, telles que les rapports du comité européen des services numériques, les orientations de la Commission, les rapports d’audit publiés en application des codes de conduite ou des protocoles de crise mentionnés aux articles 45, 46 et 48 dudit règlement, ou à partir d’informations obtenues au cours de l’audit, y compris celles relatives à des événements, en particulier des situations de crise, qui nécessitent que le fournisseur audité prenne des mesures supplémentaires pour assurer le respect de certaines obligations ou engagements audités.

(27) Pour faire en sorte que suffisamment d’éléments probants soient recueillis au cours de l’audit, les organismes d’audit devraient à la fois évaluer les contrôles internes du fournisseur audité et mettre en oeuvre des procédures analytiques de corroboration visant à déterminer si le fournisseur audité respecte les règles. Dans certains cas, les organismes d’audit devraient également réaliser des tests.

(28) Compte tenu de la complexité des systèmes algorithmiques utilisés par les fournisseurs de plateformes en ligne et de leur importance dans le respect de plusieurs obligations énoncées dans le règlement (UE) 2022/2065, il convient d’accorder une attention particulière au choix des méthodes nécessaires et appropriées à la réalisation des audits de systèmes algorithmiques. Cela concerne aussi bien les systèmes algorithmiques qui font partie des contrôles mis en place par le fournisseur audité que ceux qui sont eux-mêmes soumis à des obligations ou engagements audités, comme c’est le cas pour les systèmes de recommandation, en application notamment des articles 27, 34, 35 et 38 du règlement (UE) 2022/2065, pour les systèmes publicitaires, en application notamment des articles 26, 28, 34, 35 et 39 dudit règlement, pour les systèmes de modération des contenus, en application notamment des articles 14, 15, 34 et 35 dudit règlement, ou pour tout autre système algorithmique qui participe aux risques évoqués à l’article 34 dudit règlement.

(29) Il convient également d’avoir recours à une combinaison de procédures analytiques de corroboration, fondées notamment, s’il y a lieu, sur l’observation des processus et activités du fournisseur audité en matière de conception, de développement, d’exploitation, de tests et de suivi des systèmes algorithmiques, ou sur l’examen des enregistrements numériques et des fichiers journaux issus des systèmes. Les méthodes devraient être adaptées aux particularités des systèmes algorithmiques, y compris leur gouvernance, l’interaction entre les différents systèmes algorithmiques et les systèmes de gestion des données associés, ainsi qu’aux technologies sur lesquelles reposent ces systèmes algorithmiques, telles que les modèles génératifs ou d’autres algorithmes de classification, de sélection ou de recherche.

(30) En outre, les méthodes d’audit pour les systèmes algorithmiques devraient comprendre des tests visant, par exemple, à recueillir des informations que le fournisseur audité n’a pas encore consignées, ou à reproduire et évaluer de manière indépendante les résultats des indicateurs de précision, des tests en bac à sable ou en environnement simulé, ou des tests en production, y compris à l’aide du moissonnage de données (data scraping) ou de tests contradictoires (adversarial testing).

(31) Pour émettre un avis d’audit avec un niveau d’assurance raisonnable, l’organisme d’audit doit impérativement disposer d’éléments probants de bonne qualité. Les informations qu’il décide de présenter comme éléments probants doivent donc être appropriées et suffisantes pour réduire les risques d’audit. En outre, les éléments probants devraient être fiables selon le jugement professionnel et l’esprit critique de l’organisme d’audit et, s’il y a lieu, à la lumière d’autres sources d’information. L’exercice du jugement professionnel et de l’esprit critique devrait comprendre une évaluation critique des éléments probants et des éventuelles inexactitudes. Ces normes de qualité devraient s’appliquer à tous les éléments probants, qu’ils proviennent du fournisseur audité ou d’autres sources.

(32) Diverses sources d’information devraient être envisagées par l’organisme d’audit, parmi lesquelles, par exemple, des entretiens avec le personnel ou des contractants du fournisseur audité, y compris des responsables de la conformité, des ingénieurs, des spécialistes des données, des architectes logiciels, ou des membres d’équipes d’audit interne. Il pourrait également s’agir d’une documentation technique portant sur la conception, la mise en oeuvre, les tests et le suivi d’un système pertinent, et notamment sur la qualité et la gouvernance des données ainsi que sur les mises à jour et les versions de ce système, ainsi que d’autres documents sur les processus de gouvernance et de prise de décision du fournisseur audité, compte tenu notamment des priorités, des ressources, de la répartition des tâches et des responsabilités ou de l’expertise du personnel concerné.

(33) Afin de garantir l’efficacité et la proportionnalité de la réalisation de l’audit, il conviendrait d’autoriser l’organisme d’audit à prélever, en veillant dûment à leur représentativité, des échantillons de données et d’informations pour lui permettre de formuler un avis d’audit avec un niveau d’assurance raisonnable. Afin de garantir la transparence et la reproductibilité des procédures d’audit, l’organisme d’audit devrait motiver le choix de la taille des échantillons et de la méthode d’échantillonnage dans le rapport d’audit. Par exemple, le choix de la taille de l’échantillon et de la méthode devrait tenir compte de ce qui est efficace pour atteindre les objectifs de l’audit portant sur l’obligation ou l’engagement audité spécifique et pour réduire au minimum le risque que la conclusion de l’audit de l’échantillon spécifique diffère de celle qui serait faite si la population entière d’éléments probants était soumise à la procédure d’audit. Le champ complet de l’audit, ainsi que les changements internes ou externes apportés au service audité au cours de cette période, devraient être pris en compte dans le choix de la taille de l’échantillon et de la méthode d’échantillonnage. Celles-ci devraient également être adaptées aux particularités des systèmes algorithmiques, y compris en ce qui concerne la personnalisation par profilage. Dans ce cadre, l’organisme d’audit devrait, par exemple, prélever un échantillon approprié parmi les différentes cohortes ou les différents segments pouvant résulter des techniques de personnalisation, ou identifier la marge d’erreur et expliquer pourquoi elle est d’un niveau acceptable.

(34) Compte tenu de la nouveauté de certaines dispositions du règlement (UE) 2022/2065, il est nécessaire de définir des principes méthodologiques, englobant des questions d’audit et de nouvelles orientations pour le choix des méthodes d’audit et des éléments probants aux fins de l’évaluation du respect de ces dispositions, à savoir les articles 34, 35 et 36 du règlement (UE) 2022/2065, relatifs à la réalisation des évaluations des risques et à l’adoption de mesures d’atténuation des risques par les fournisseurs audités et à l’application d’obligations en matière de réaction aux crises.

(35) Étant donné que les organismes d’audit devraient également évaluer si le fournisseur audité respecte l’article 37 du règlement (UE) 2022/2065, des spécifications supplémentaires devraient également être fournies au sujet de l’audit précis au regard duquel il convient d’évaluer la conformité, notamment afin d’éviter tout conflit d’intérêts pour l’organisme d’audit.

(36) Compte tenu du caractère volontaire des codes de conduite et des protocoles de crise, il est nécessaire de prévoir des règles spécifiques pour le contrôle du respect des articles 45, 46 et 48 du règlement (UE) 2022/2065, notamment afin que les organismes d’audit disposent de toutes les informations dont ils ont besoin pour contrôler spécifiquement les engagements pris au titre de chaque code de conduite et protocole de crise,

A ADOPTÉ LE PRÉSENT RÈGLEMENT:

SECTION I
Dispositions générales

Article premier
Objet

Le présent règlement établit les règles relatives à la réalisation d’audits en application de l’article 37 du règlement (UE) 2022/2065, en ce qui concerne:

• a) les étapes de la procédure visant à garantir que l’organisme d’audit à sélectionner remplit les conditions énoncées à l’article 37, paragraphe 3, du règlement (UE) 2022/2065;
• b) les étapes de la procédure concernant l’obligation de coopération et d’assistance qui incombe au fournisseur audité dans le cadre des audits, et notamment l’accès aux informations pertinentes en vue d’obtenir des éléments probants;
• c) la définition et le choix des méthodes d’audit;
• d) les modèles du rapport d’audit et du rapport de mise en oeuvre des recommandations d’audit.

Article 2
Définitions

Aux fins du présent règlement, on entend par:

1) «organisme d’audit»: une organisation individuelle, un consortium ou une autre combinaison d’organisations, y compris des sous-traitants, que le fournisseur audité engage pour réaliser un audit indépendant conformément à l’article 37 du règlement (UE) 2022/2065;

2) «service audité»: une très grande plateforme en ligne ou un très grand moteur de recherche en ligne désigné conformément à l’article 33 du règlement (UE) 2022/2065;

3) «fournisseur audité»: le fournisseur d’un service audité qui fait l’objet d’audits indépendants en application de l’article 37, paragraphe 1, du règlement (UE) 2022/2065;

4) «obligation ou engagement audité»: une obligation ou un engagement mentionné à l’article 37, paragraphe 1, du règlement (UE) 2022/2065 qui fait l’objet de l’audit;

5) «critères d’audit»: les critères au regard desquels l’organisme d’audit évalue le respect de chaque obligation ou engagement audité;

6) «éléments probants»: toute information utilisée par un organisme d’audit pour étayer les constatations et conclusions de l’audit et pour émettre un avis d’audit, y compris les données recueillies à partir de documents, de bases de données ou de systèmes informatiques, d’entretiens ou de tests;

7) «inexactitude»: une omission, une déformation ou une erreur, intentionnelle ou non, dans les déclarations ou les données communiquées ou fournies par le fournisseur audité à l’organisme d’audit, ou dans l’environnement de test mis à la disposition de l’organisme d’audit par le fournisseur audité;

8) «risque d’audit»: le risque que l’organisme d’audit émette un avis d’audit incorrect ou parvienne à une conclusion erronée en ce qui concerne le respect, par le fournisseur audité, d’une obligation ou d’un engagement audité, compte tenu des risques de non-détection, des risques inhérents et des risques de non-contrôle concernant cette obligation ou cet engagement audité;

9) «risque de non-détection»: le risque que l’organisme d’audit ne détecte pas une inexactitude susceptible d’influer sur l’évaluation du respect, par le fournisseur audité, d’une obligation ou d’un engagement audité;

10) «risque inhérent»: le risque de non-conformité intrinsèquement lié à la nature, à la conception, à l’activité et à l’utilisation du service audité, ainsi qu’au contexte dans lequel celui-ci est exploité, et le risque de non-conformité lié à la nature de l’obligation ou de l’engagement audité;

11) «risque de non-contrôle»: le risque qu’une inexactitude ne soit pas évitée, décelée ou corrigée en temps utile au moyen des contrôles internes du fournisseur audité;

12) «seuil de signification»: le seuil au-delà duquel on peut raisonnablement penser que les écarts ou inexactitudes du fournisseur audité, pris individuellement ou globalement, affecteraient les constatations, les conclusions et les avis d’audit;

13) «niveau d’assurance raisonnable»: un niveau d’assurance élevé, mais non absolu, fondé sur des éléments probants suffisants et appropriés, qui permet à l’organisme d’audit d’établir, dans son avis et ses conclusions d’audit, si le fournisseur audité respecte les obligations ou engagements audités;

14) «contrôle interne»: toute mesure, y compris les processus et les tests, conçue, mise en oeuvre et maintenue par le fournisseur audité, y compris ses responsables de la conformité et son organe de direction, pour contrôler et garantir le respect, par le fournisseur audité, de l’obligation ou de l’engagement audité;

15) «chercheur agréé»: un chercheur agréé conformément à l’article 40, paragraphe 8, du règlement (UE) 2022/2065;

16) «procédure d’audit»: toute technique appliquée par l’organisme d’audit dans la réalisation de l’audit, y compris la collecte de données, le choix et l’application de méthodes, telles que des tests et des procédures analytiques de corroboration, ainsi que toute autre mesure prise pour recueillir et analyser des informations en vue de recueillir des éléments probants et de formuler des conclusions d’audit, à l’exclusion de l’émission d’un avis d’audit ou du rapport d’audit;

17) «test»: une méthode d’audit consistant en des mesures, des expériences ou d’autres contrôles, y compris des contrôles de systèmes algorithmiques, par laquelle l’organisme d’audit évalue si le fournisseur audité respecte l’obligation ou l’engagement audité;

18) «procédure analytique de corroboration»: une méthode d’audit utilisée par l’organisme d’audit afin d’inférer d’une évaluation d’informations les risques d’audit ou le respect de l’obligation ou de l’engagement audité.

Article 3
Champ de l’audit et niveau d’assurance raisonnable

1. L’audit est effectué d’une manière et pour une durée qui permettent à l’organisme d’audit d’évaluer, avec un niveau d’assurance raisonnable, si le fournisseur audité respecte l’ensemble des obligations et engagements audités.

2. L’audit couvre la période commençant immédiatement après la période couverte par l’audit précédent et se terminant à une date qui permet à l’organisme d’audit de réaliser l’audit dans les délais prévus à l’article 37, paragraphe 1, du règlement (UE) 2022/2065, y compris en étayant l’évaluation qu’il a réalisée en application du paragraphe 1 par les éléments probants recueillis et les procédures d’audit menées au cours de cette période, et en complétant et en soumettant le rapport d’audit au fournisseur audité conformément à l’article 37, paragraphe 4, dudit règlement.

3. Lorsque aucun audit précédent n’a été réalisé, l’audit couvre la période commençant quatre mois après la notification prévue à l’article 33, paragraphe 6, premier alinéa, du règlement (UE) 2022/2065, et la durée de l’audit permet d’achever le rapport d’audit prévu à l’article 6, paragraphe 1, au plus tard dans un délai d’un an à compter du début de la période auditée.

SECTION II
Conditions pour la réalisation de l’audit

Article 4
Sélection de l’organisme d’audit

1. Avant de sélectionner un organisme d’audit en vue de réaliser l’audit, le fournisseur audité vérifie si cet organisme remplit les exigences énoncées à l’article 37, paragraphe 3, du règlement (UE) 2022/2065.

2. Lorsque l’organisme d’audit à sélectionner est composé de plus d’une personne morale ou a l’intention de recourir à un ou plusieurs sous-traitants, le fournisseur audité vérifie si toutes ces personnes morales ou sous-traitants:

• a) remplissent individuellement les exigences énoncées à l’article 37, paragraphe 3, points a) et c), du règlement (UE) 2022/2065;
• b) remplissent conjointement l’exigence énoncée à l’article 37, paragraphe 3, point b), du règlement (UE) 2022/2065.

Article 5
Coopération et assistance entre le fournisseur audité et l’organisme d’audit

1. À un moment convenu avec l’organisme d’audit et, en tout état de cause, avant la mise en oeuvre de toute procédure d’audit, le fournisseur audité transmet à l’organisme d’audit sélectionné au moins les informations suivantes:

• a) une description des contrôles internes mis en place pour chaque obligation et engagement audité, y compris les indicateurs connexes et toutes les mesures actuelles et historiques, ainsi que les critères de référence utilisés par le fournisseur audité pour établir ou contrôler le respect des obligations et engagements audités, ainsi que tout document justificatif;
• b) son analyse préliminaire des risques inhérents et des risques de non-contrôle, lorsque le fournisseur audité a effectué une telle analyse, ainsi que tout document justificatif;
• c) des informations sur les structures décisionnelles pertinentes, les compétences des services du fournisseur, y compris la fonction de vérification de la conformité conformément à l’article 41 du règlement (UE) 2022/2065, les systèmes informatiques, les sources de données, le traitement et le stockage pertinents, ainsi que des explications sur les systèmes algorithmiques pertinents et leurs interactions.

2. Sans retard injustifié, le fournisseur audité donne à l’organisme d’audit un accès à toutes les données nécessaires à la réalisation de l’audit, y compris les données à caractère personnel, la documentation, les informations sur les procédures et les processus, ainsi qu’aux systèmes informatiques, aux environnements de test, à son personnel et à ses locaux, ainsi qu’à tout sous-traitant concerné.

3. Le fournisseur audité met à la disposition de l’organisme d’audit toutes les ressources nécessaires et lui fournit l’assistance et les explications nécessaires pour lui permettre d’analyser les informations pertinentes et d’effectuer des tests, y compris lorsque les informations demandées par l’organisme d’audit conformément à l’article 37, paragraphe 3, du règlement (UE) 2022/2065 sont détenues par un tiers ayant un lien contractuel avec le fournisseur audité.

SECTION III
Réalisation des audits

Article 6
Rapport d’audit et rapport de mise en oeuvre des recommandations d’audit

1. Le rapport d’audit mentionné à l’article 37, paragraphe 4, du règlement (UE) 2022/2065 est établi par l’organisme d’audit, sans ingérence du fournisseur audité. Ce rapport d’audit est établi conformément au modèle figurant à l’annexe I et contient des conclusions détaillées et étayées concernant tous les éléments du modèle.

2. Le cas échéant, le rapport de mise en oeuvre des recommandations d’audit mentionné à l’article 37, paragraphe 6, du règlement (UE) 2022/2065 est établi conformément au modèle figurant à l’annexe II.

Article 7
Procédures pour la préparation de l’audit

1. Le fournisseur audité et l’organisme d’audit concluent un accord écrit énonçant:

• a) la liste complète des obligations et engagements audités;
• b) les responsabilités de l’organisme d’audit, y compris, le cas échéant, de manière détaillée pour chaque personne morale qui la constitue, ainsi que des parties habilitées à signer le rapport d’audit;
• c) les procédures et les points de contact mis à disposition par le fournisseur audité pour permettre à l’organisme d’audit de demander l’accès aux données mentionnées à l’article 5, paragraphe 2;
• d) le calendrier de l’audit, y compris les dates de début et de fin des procédures d’audit ainsi que d’achèvement du rapport d’audit;
• e) une procédure de règlement des litiges entre le fournisseur audité et l’organisme d’audit qui découleraient de la réalisation de l’audit.

2. L’accord mentionné au paragraphe 1, ainsi que tout autre accord ou lettre de mission signé par l’organisme d’audit et le fournisseur audité en lien avec la réalisation de l’audit, sont annexés au rapport d’audit.

3. Lorsque des modifications sont apportées à l’accord mentionné au paragraphe 1 au cours de la réalisation de l’audit, elles sont indiquées explicitement dans le rapport d’audit.

Article 8
Avis d’audit, conclusions de l’audit et recommandations

1. Le rapport d’audit comprend les conclusions que tire l’organisme d’audit quant au respect, par le fournisseur audité, de chaque obligation et engagement audité. Les conclusions de l’audit peuvent être:

• a) «positives», lorsque l’organisme d’audit conclut, avec un niveau d’assurance raisonnable, que le fournisseur audité a respecté une obligation ou un engagement audité; ou
• b) «positives et assorties de commentaires», lorsque l’organisme d’audit conclut, avec un niveau d’assurance raisonnable, que le fournisseur audité a respecté une obligation ou un engagement audité, mais:
  • i) l’organisme d’audit formule des observations sur les critères de référence communiqués par le fournisseur audité conformément à l’article 5, paragraphe 1, point a); ou
  • ii) l’organisme d’audit recommande des améliorations qui n’ont pas d’effet significatif sur sa conclusion;
• c) «négatives», lorsque l’organisme d’audit conclut, avec un niveau d’assurance raisonnable, que le fournisseur audité n’a pas respecté une obligation ou un engagement audité.

2. Lorsqu’un rapport d’audit contient des recommandations opérationnelles conformément à l’article 37, paragraphe 4, point h), du règlement (UE) 2022/2065, ces recommandations et leur calendrier recommandé sont spécifiques à chaque obligation ou engagement audité pour lequel les conclusions de l’audit conformément au paragraphe 1 sont «positives et assorties de commentaires» ou «négatives».

3. Lorsque les recommandations opérationnelles mentionnées au paragraphe 2 comprennent des mesures spécifiques à prendre pour la mise en conformité, elles sont formulées de sorte à expliquer l’évaluation réalisée par l’organisme d’audit de la manière dont ces mesures affecteraient le seuil de signification par rapport aux conclusions de l’audit pour l’obligation ou l’engagement audité concerné.

4. Sur la base des conclusions de l’audit, le rapport d’audit comprend un avis d’audit sur le respect, par le fournisseur audité, de toutes les obligations auditées mentionnées à l’article 37, paragraphe 1, point a), du règlement (UE) 2022/2065.

5. Sur la base des conclusions relatives à tous les engagements audités, le rapport d’audit comprend un ou plusieurs avis d’audit, selon le cas, sur le respect, par le fournisseur audité, de tous les engagements audités qu’a pris le fournisseur audité en vertu de chaque code de conduite et de chaque protocole de crise mentionnés à l’article 37, paragraphe 1, point b), du règlement (UE) 2022/2065.

6. Les avis d’audit rendus conformément aux paragraphes 4 et 5 sont:

• a) «positifs» si l’organisme d’audit est parvenu à une conclusion d’audit «positive» pour l’ensemble des obligations ou engagements audités; ou
• b) «positifs assortis de commentaires» si l’organisme d’audit est parvenu à au moins une conclusion d’audit «positive assortie de commentaires» pour une obligation ou un engagement audité et n’est parvenu à aucune conclusion d’audit «négative» pour aucune obligation ou aucun engagement audité; ou
• c) «négatifs» si l’organisme d’audit est parvenu à une conclusion d’audit «négative» pour au moins une obligation ou un engagement audité.

7. Lorsque l’organisme d’audit évalue que, pendant une période limitée au cours de la période mentionnée à l’article 3, paragraphe 2, le fournisseur n’a pas respecté une obligation ou un engagement audité, le rapport d’audit décrit dûment cette évaluation.

8. Lorsque l’organisme d’audit ne peut émettre avec un niveau d’assurance raisonnable ni une conclusion d’audit conformément au paragraphe 1 ni un avis d’audit conformément aux paragraphes 4 et 5, le rapport d’audit comprend une explication des circonstances et des raisons pour lesquelles ce niveau d’assurance n’a pas pu être atteint.

SECTION IV
Méthodes d’audit

Article 9
Analyse des risques d’audit

1. Le rapport d’audit comprend une analyse des risques d’audit étayée, réalisée par l’organisme d’audit afin d’évaluer le respect, par le fournisseur audité, de chaque obligation ou engagement audité.

2. L’analyse des risques d’audit est effectuée avant la mise en oeuvre des procédures d’audit et est mise à jour pendant que l’audit est réalisé, à la lumière de tout nouvel élément probant qui, selon le jugement professionnel de l’organisme d’audit, modifie substantiellement l’évaluation des risques d’audit.

3. L’analyse des risques d’audit tient compte:

• a) des risques inhérents;
• b) des risques de non-contrôle;
• c) des risques de non-détection.

4. L’analyse des risques d’audit est effectuée en tenant compte:

• a) de la nature du service audité et du contexte sociétal et économique dans lequel le service audité est fourni, y compris la probabilité et la gravité de l’exposition à des situations de crise et à des événements imprévus;
• b) de la nature des obligations et des engagements;
• c) d’autres informations utiles, notamment:
  • i) le cas échéant, des informations provenant des audits dont le service audité a précédemment fait l’objet;
  • ii) le cas échéant, des informations provenant de rapports publiés par le comité européen des services numériques ou d’orientations de la Commission, y compris les lignes directrices publiées conformément à l’article 35, paragraphes 2 et 3, du règlement (UE) 2022/2065, ainsi que de toute autre orientation pertinente publiée par la Commission en ce qui concerne l’application du règlement (UE) 2022/2065;
  • iii) le cas échéant, des informations provenant de rapports d’audit publiés conformément à l’article 42, paragraphe 4, du règlement (UE) 2022/2065 par d’autres fournisseurs de très grandes plateformes en ligne ou de très grands moteurs de recherche en ligne opérant dans des conditions similaires ou fournissant des services semblables au service audité.

Article 10
Méthodes d’audit appropriées

1. Sans préjudice des méthodes d’audit spécifiques exposées aux articles 13, 14 et 15, les audits sont réalisés à l’aide de méthodes d’audit appropriées afin de ramener les risques d’audit estimés à un niveau permettant à l’organisme d’audit de parvenir à des conclusions d’audit avec un niveau d’assurance raisonnable.

2. Le rapport d’audit comprend une description des méthodes d’audit conçues par l’organisme d’audit avant l’exécution de toute procédure d’audit, comprenant au moins:

• a) les critères d’audit utilisés pour évaluer le respect de chaque obligation ou engagement audité, définis sur la base des informations mentionnées à l’article 5, paragraphe 1, point a), et le seuil de signification toléré et exprimé en termes qualitatifs ou quantitatifs, selon le cas;
• b) tous les tests, procédures analytiques de corroboration et éléments probants que l’organisme d’audit a l’intention d’utiliser pour évaluer le respect de chaque obligation ou engagement audité.

Le rapport d’audit comprend une description de toute modification apportée aux méthodes utilisées au cours de la réalisation de l’audit par rapport aux méthodes conçues avant la mise en oeuvre des procédures d’audit.

3. Lorsqu’un organisme d’audit a des doutes raisonnables quant aux informations évaluées lors de la réalisation de l’audit, notamment en ce qui concerne les informations qui ont été présentées par le fournisseur audité, le choix et l’application de la méthode sont adaptés pour que ledit organisme puisse obtenir les éléments probants nécessaires conformément à l’article 11.

4. Des doutes raisonnables tels que mentionnés au paragraphe 3 sont réputés naître, en particulier, en présence de l’un des éléments suivants:

• a) l’exercice du jugement professionnel et de l’esprit critique dans l’évaluation des informations, notamment en ce qui concerne les contrôles internes du fournisseur audité, qui amène l’organisme d’audit à exprimer des doutes raisonnables;
• b) des indications externes laissant supposer l’existence de risques d’audit, en particulier les rapports du comité européen des services numériques prévus à l’article 35, paragraphe 2, du règlement (UE) 2022/2065, les orientations de la Commission, y compris sous la forme des lignes directrices mentionnées à l’article 35, paragraphe 3, dudit règlement et toute autre orientation pertinente publiée par la Commission en ce qui concerne l’application du règlement (UE) 2022/2065, ainsi que les rapports d’audit publiés en application des codes de conduite ou des protocoles de crise mentionnés aux articles 45, 46 et 48 dudit règlement;
• c) des informations relatives à des événements survenant au cours de la réalisation de l’audit, y compris des situations de crise, qui nécessitent des mesures supplémentaires de la part du fournisseur audité afin d’assurer le respect de certaines obligations ou engagements audités.

5. Les procédures d’audit comprennent au moins:

• a) la réalisation de tests et l’application de procédures analytiques de corroboration pour les contrôles internes que le fournisseur audité a mis en place pour chaque obligation ou engagement audité;
• b) la mise en oeuvre de procédures analytiques de corroboration pour évaluer le respect de chaque obligation et engagement audité, y compris en ce qui concerne les systèmes algorithmiques;
• c) la réalisation de tests, portant notamment sur les systèmes algorithmiques, concernant les obligations et engagements audités à l’égard desquels l’organisme d’audit a des doutes raisonnables tels que définis au paragraphe 4, et concernant les obligations et engagements audités lorsqu’il juge nécessaire d’effectuer des tests dans le cadre de son choix de méthodes en application du paragraphe 1.

6. Lorsque les obligations ou engagements énoncés à l’article 37, paragraphe 1, du règlement (UE) 2022/2065 imposent au fournisseur audité de rendre publiques certaines informations, les méthodes d’audit comprennent une évaluation visant à déterminer si les informations communiquées sont exemptes d’erreur ou d’omission significative qui pourraient les rendre trompeuses.

Article 11
Qualité des éléments probants

Les conclusions et les avis d’audit sont fondés sur des éléments probants qui satisfont aux deux exigences suivantes:

• a) ils sont pertinents et suffisants pour réduire les risques d’audit identifiés conformément à l’article 9 et pour permettre à l’organisme d’audit de fournir des conclusions et des avis d’audit conformément à l’article 8;
• b) ils sont fiables, selon le jugement professionnel exercé par l’organisme d’audit et l’esprit critique dont il fait preuve.

Article 12
Méthodes d’échantillonnage

1. Lorsque les éléments probants reposent, en tout ou en partie, sur un échantillon de données ou d’informations, la taille de l’échantillon et la méthode d’échantillonnage sont sélectionnées en vue de réduire au minimum le risque de non- détection et sans interférence de la part du fournisseur audité.

2. La taille de l’échantillon et la méthode d’échantillonnage sont sélectionnées de manière à assurer la représentativité des données ou informations et, le cas échéant, en tenant compte de l’ensemble des éléments suivants:

• a) la représentativité de l’échantillon pour la période mentionnée à l’article 3, paragraphes 2 et 3;
• b) les modifications pertinentes apportées au service audité au cours de cette période;
• c) les changements pertinents intervenus dans le contexte dans lequel est fourni le service audité au cours de cette période;
• d) les caractéristiques pertinentes des systèmes algorithmiques, le cas échéant, y compris la personnalisation par profilage ou sur la base d’autres critères;
• e) d’autres caractéristiques ou segmentations pertinentes des données, informations et éléments de preuve considérés;
• f) la représentation et l’analyse appropriée des préoccupations liées à des groupes particuliers, le cas échéant, tels que les mineurs ou les groupes vulnérables et les minorités, en ce qui concerne l’obligation ou l’engagement audité.

3. Le rapport d’audit contient une justification du choix de la taille de l’échantillon et de la méthode d’échantillonnage.

Article 13
Méthodes spécifiques destinées à contrôler le respect de l’article 34 du règlement (UE) 2022/2065 relatif à l’évaluation des risques

1. L’évaluation du respect, par le fournisseur audité, de l’article 34 du règlement (UE) 2022/2065 comprend, sans s’y limiter, une analyse de l’ensemble des éléments suivants:

• a) si le fournisseur audité a recensé, analysé et évalué de manière diligente les risques systémiques au sein de l’Union mentionnés à l’article 34, paragraphe 1, premier alinéa, du règlement (UE) 2022/2065, notamment en évaluant:
  • i) la manière dont le fournisseur audité a identifié les risques liés à son service, en tenant compte des aspects régionaux et linguistiques de l’utilisation qui est faite dudit service, y compris lorsque ces aspects sont propres à un État membre; si les risques sont correctement identifiés ou non;
  • ii) la manière dont le fournisseur audité a analysé et évalué chaque risque, y compris la manière dont il a tenu compte de la probabilité et de la gravité des risques, et si l’évaluation était appropriée;
  • iii) la manière dont le fournisseur audité a identifié, analysé et évalué les facteurs mentionnés à l’article 34, paragraphe 2, premier alinéa, du règlement (UE) 2022/2065; s’ils ont été correctement identifiés et dans quelle mesure ces facteurs influencent les risques mentionnés au paragraphe 1 dudit article;
  • iv) quelles sources d’information le fournisseur audité a utilisées; comment il a collecté les informations, y compris si, et comment, il s’est appuyé sur des connaissances scientifiques et techniques;
  • v) si et comment le fournisseur audité a testé des hypothèses sur les risques auprès des groupes les plus affectés par les risques spécifiques;
• b) si l’évaluation des risques a été réalisée dans les délais fixés à l’article 34, paragraphe 1, deuxième alinéa, du règlement (UE) 2022/2065 et, le cas échéant, dans les délais fixés pour les activités mises en place en tant que mesures d’atténuation des risques pour la détection des risques systémiques en application de l’article 35, paragraphe 1, point f), dudit règlement;
• c) la manière dont le fournisseur audité a identifié les fonctionnalités susceptibles d’avoir une incidence critique sur les risques, pour lesquelles une évaluation des risques est réalisée avant leur déploiement, en application de l’article 34, paragraphe 1, deuxième alinéa, du règlement (UE) 2022/2065; si ces fonctionnalités ont été correctement identifiées et si l’évaluation des risques a été menée de manière appropriée;
• d) si le fournisseur audité a correctement identifié les documents justificatifs des évaluations des risques à conserver; s’il a mis en place les moyens nécessaires pour assurer la conservation de ces documents pendant au moins trois ans, conformément à l’article 34, paragraphe 3, du règlement (UE) 2022/2065, et si ces documents ont été conservés en conséquence.

2. Sans préjudice de toute autre analyse nécessaire pour atteindre un niveau d’assurance raisonnable, les méthodes de contrôle du respect de l’article 34 du règlement (UE) 2022/2065 comprennent au moins une évaluation, par l’organisme d’audit, des éléments suivants:

• a) les contrôles internes que le fournisseur audité a mis en place pour suivre la réalisation des évaluations des risques pour chacun des facteurs mentionnés à l’article 34, paragraphe 2, premier alinéa, du règlement (UE) 2022/2065; cette évaluation:
  • i) est fondée sur des procédures analytiques de corroboration pour ces contrôles internes;
  • ii) est fondée sur des tests visant à déterminer si ces contrôles internes sont fiables et conçus, exécutés et suivis avec diligence;
  • iii) évalue la manière dont le ou les responsables de la conformité ont exécuté les tâches qui leur incombent en application de l’article 41, paragraphe 3, points b), d), e) et, le cas échéant, point f), du règlement (UE) 2022/2065 et la manière dont l’organe de direction du fournisseur audité a participé aux décisions relatives à la gestion des risques en application de l’article 41, paragraphes 6 et 7, dudit règlement;
• b) les actions, moyens et processus mis en place par le fournisseur audité pour assurer le respect de l’article 34 du règlement (UE) 2022/2065 et leurs résultats; cette évaluation est fondée sur:
  • i) des procédures analytiques de corroboration;
  • ii) des tests, portant notamment sur les systèmes algorithmiques, lorsque l’organisme d’audit a des doutes raisonnables, sur la base des résultats des procédures analytiques de corroboration et de l’évaluation des contrôles internes, ou lorsqu’il juge nécessaire d’effectuer des tests dans le cadre de son choix de méthodes en application de l’article 10, paragraphe 1.

3. Les informations analysées par l’organisme d’audit à l’appui de l’évaluation effectuée au titre du présent article comprennent, sans s’y limiter:

• a) le rapport sur l’évaluation des risques pour la période auditée, qui a été élaboré par le fournisseur audité, y compris, le cas échéant, les informations confidentielles qui ne font pas partie des informations publiées en application de l’article 42, paragraphe 2, dudit règlement, ainsi que tous les documents justificatifs;
• b) le cas échéant, d’autres rapports sur l’évaluation des risques du fournisseur audité et les documents justificatifs s’y rapportant;
• c) les informations communiquées par le fournisseur audité en application de l’article 5;
• d) tous les rapports de transparence pertinents du fournisseur audité mentionnés à l’article 15, paragraphe 1, du règlement (UE) 2022/2065:
• e) tous autres résultats de tests, documentation, éléments de preuve, déclarations faites en réponse à des questions écrites ou orales adressées par l’organisme d’audit au personnel du fournisseur audité, et observations formulées dans les locaux, le cas échéant;
• f) d’autres éléments de preuve pertinents, y compris sur la base d’informations mises à disposition par le fournisseur audité;
• g) selon leur disponibilité, les rapports mentionnés à l’article 35, paragraphe 2, du règlement (UE) 2022/2065 et les orientations de la Commission, y compris les lignes directrices publiées conformément à l’article 35, paragraphe 3, dudit règlement, ainsi que toute autre orientation pertinente publiée par la Commission en ce qui concerne l’application du règlement (UE) 2022/2065.

4. Les informations analysées par l’organisme d’audit peuvent comprendre, en tant que de besoin, les informations mentionnées à l’article 42, paragraphe 4, du règlement (UE) 2022/2065, y compris celles provenant des rapports d’audit, des rapports sur l’évaluation des risques et l’atténuation des risques, concernant d’autres très grandes plateformes en ligne ou très grands moteurs de recherche en ligne, ou les données et résultats de recherches mis à la disposition du public par des chercheurs agréés en application de l’article 40, paragraphe 8, point g), du règlement.

Article 14
Méthodes spécifiques destinées à contrôler le respect de l’article 35 du règlement (UE) 2022/2065 relatif à l’atténuation des risques

1. L’évaluation du respect, par le fournisseur audité, de l’article 35 du règlement (UE) 2022/2065 comprend, sans s’y limiter, une analyse de l’ensemble des éléments suivants:

• a) la manière dont le fournisseur audité a défini les mesures d’atténuation des risques pour chacun des risques systémiques mentionnés à l’article 34, paragraphe 1, du règlement (UE) 2022/2065, et si ces mesures d’atténuation des risques ont été mises en oeuvre avec diligence;
• b) la manière dont le fournisseur audité a évalué si les mesures d’atténuation des risques mentionnées à l’article 35, paragraphe 1, points a) à k), du règlement (UE) 2022/2065, étaient applicables au service audité et si la conclusion de cette évaluation était appropriée, y compris en ce qui concerne les mesures qui n’ont pas été appliquées par le fournisseur audité;
• c) si les mesures d’atténuation mises en place par le fournisseur audité sont raisonnables, proportionnées et atténuent efficacement les risques considérés, notamment:
  • i) en évaluant si elles constituent collectivement une réponse à tous les risques, en accordant une attention particulière aux risques liés à l’exercice des droits fondamentaux;
  • ii) en procédant à une évaluation comparative de la manière dont les risques ont été traités avant et après la mise en place des mesures spécifiques d’atténuation des risques;
  • iii) en évaluant si les mesures d’atténuation des risques ont été conçues et exécutées de manière appropriée.

2. Sans préjudice de toute autre analyse nécessaire pour atteindre un niveau d’assurance raisonnable, les méthodes de contrôle du respect de l’article 35 du règlement (UE) 2022/2065 comprennent au moins une évaluation, par l’organisme d’audit, des éléments suivants:

• a) les contrôles internes que le fournisseur audité a mis en place pour contrôler l’application des mesures d’atténuation des risques mentionnées à l’article 35, paragraphe 1, du règlement (UE) 2022/2065 et leur caractère raisonnable, proportionné et efficace; cette évaluation:
  • i) est fondée sur des procédures analytiques de corroboration pour ces contrôles internes;
  • ii) est fondée sur des tests visant à déterminer si ces contrôles internes sont fiables et conçus, exécutés et suivis avec diligence;
  • iii) évalue la manière dont le ou les responsables de la conformité ont exécuté les tâches qui leur incombent en application de l’article 41, paragraphe 3, points b), d), e) et, le cas échéant, point f), du règlement (UE) 2022/2065 et la manière dont l’organe de direction du fournisseur a participé en application de l’article 41, paragraphes 6 et 7, dudit règlement;
• b) les mesures d’atténuation mises en place par les fournisseurs audités; cette évaluation est fondée sur:
  • i) des procédures analytiques de corroboration;
  • ii) des tests, portant notamment sur les systèmes algorithmiques, lorsque l’organisme d’audit a des doutes raisonnables, sur la base des résultats des procédures analytiques de corroboration et de l’évaluation des contrôles internes, ou lorsqu’il juge nécessaire d’effectuer des tests dans le cadre de son choix de méthodes en application de l’article 10, paragraphe 1.

3. Les informations analysées par l’organisme d’audit à l’appui de l’évaluation effectuée au titre du présent article comprennent, sans s’y limiter:

• a) les rapports sur l’évaluation des risques et l’atténuation des risques pour la période auditée, qui ont été élaborés par le fournisseur audité, y compris, le cas échéant, les informations confidentielles qui ne font pas partie des informations publiées en application de l’article 42, paragraphe 2, du règlement (UE) 2022/2065, ainsi que tous les documents justificatifs;
• b) le cas échéant, d’autres rapports sur l’évaluation des risques et l’atténuation des risques du fournisseur audité et les documents justificatifs s’y rapportant;
• c) les informations communiquées par le fournisseur audité en application de l’article 5;
• d) tous les rapports de transparence pertinents du fournisseur audité mentionnés à l’article 15, paragraphe 1, du règlement (UE) 2022/2065;
• e) le cas échéant, des rapports antérieurs sur l’évaluation des risques et les documents justificatifs s’y rapportant, qui concernent des périodes hors de la période auditée, y compris, le cas échéant, les informations confidentielles qui ne font pas partie des informations publiées en application de l’article 42, paragraphe 2, du règlement (UE) 2022/2065;
• f) tous autres résultats de tests, documentation, éléments de preuve, déclarations faites en réponse à des questions écrites et/ou orales adressées par l’organisme d’audit au personnel du fournisseur audité, et observations formulées dans les locaux, le cas échéant;
• g) d’autres éléments de preuve pertinents, y compris sur la base d’informations mises à disposition par le fournisseur audité;
• h) selon leur disponibilité, les rapports mentionnés à l’article 35, paragraphe 2, du règlement (UE) 2022/2065 et les orientations de la Commission, y compris les lignes directrices publiées en vertu de l’article 35, paragraphe 3, dudit règlement, ainsi que toute autre orientation pertinente publiée par la Commission en ce qui concerne l’application du règlement (UE) 2022/2065.

4. Les informations analysées par l’organisme d’audit peuvent comprendre, en tant que de besoin, les informations mentionnées à l’article 42, paragraphe 4, du règlement (UE) 2022/2065, y compris celles provenant des rapports d’audit, des rapports sur l’évaluation des risques et l’atténuation des risques, concernant d’autres très grandes plateformes en ligne ou très grands moteurs de recherche en ligne, ou les données et résultats de recherches mis à la disposition du public par des chercheurs agréés en application de l’article 40, paragraphe 8, point g), du règlement (UE) 2022/2065.

Article 15
Méthodes spécifiques destinées à contrôler le respect de l’article 36 du règlement (UE) 2022/2065 relatif au mécanisme de réaction aux crises

1. L’évaluation du respect, par le fournisseur audité, de l’article 36, paragraphe 1, premier alinéa, point a), du règlement (UE) 2022/2065 comprend, sans s’y limiter, une analyse de la mesure et de la manière dans laquelle le fournisseur audité a entrepris les actions requises, et notamment:

• a) si et comment le fournisseur audité a identifié les systèmes pertinents participant au fonctionnement et à l’utilisation de son service qui contribuent de manière significative à une menace grave et si ces systèmes ont été correctement identifiés;
• b) si et comment le fournisseur audité a défini et surveillé la contribution significative à la menace grave et si son évaluation était appropriée;
• c) toute autre exigence spécifiée dans la décision de la Commission mentionnée à l’article 36, paragraphe 1, ou à l’article 36, paragraphe 7, deuxième alinéa, du règlement (UE) 2022/2065, selon le cas.

2. L’évaluation du respect, par le fournisseur audité, de l’article 36, paragraphe 1, premier alinéa, point b), du règlement (UE) 2022/2065 comprend, sans s’y limiter, une analyse de la mesure et de la manière dans laquelle le fournisseur audité a entrepris les actions requises, et notamment:

• a) si et comment le fournisseur audité a identifié des mesures visant à prévenir, éliminer ou limiter toute contribution à la menace grave;
• b) si et comment les mesures prises par le fournisseur audité correspondaient au caractère sérieux de la menace grave et à son urgence, et si lesdites mesures étaient appropriées à cet égard;
• c) si et comment le fournisseur audité a identifié les parties concernées par les mesures et leurs intérêts légitimes, et comment il a évalué l’impact réel ou potentiel des mesures sur les droits de ces parties, y compris leurs droits fondamentaux et leurs intérêts légitimes;
• d) si les mesures prises par le fournisseur audité étaient efficaces et proportionnées;
• e) toute autre exigence spécifiée dans la décision de la Commission mentionnée à l’article 36, paragraphe 1, ou à l’article 36, paragraphe 7, deuxième alinéa, du règlement (UE) 2022/2065, selon le cas.

3. L’évaluation du respect, par le fournisseur audité, de l’article 36, paragraphe 1, premier alinéa, point c), du règlement (UE) 2022/2065 comprend, sans s’y limiter, une analyse de la manière dont le fournisseur audité a entrepris l’action requise, et en particulier si le fournisseur audité a fourni à la Commission les informations requises dans la décision de la Commission mentionnée à l’article 36, paragraphe 1, ou à l’article 36, paragraphe 7, deuxième alinéa, du règlement (UE) 2022/2065, et si ces informations étaient exactes.

Article 16
Contrôle du respect de l’article 37 du règlement (UE) 2022/2065 relatif à l’audit indépendant

1. Le respect des obligations énoncées à l’article 37 du règlement (UE) 2022/2065 et dans le présent règlement est évalué par rapport à l’audit ou aux audits réalisés au cours de la période annuelle qui a précédé celle de l’audit courant.

2. Outre ce que prévoit le paragraphe 1, l’audit contient une évaluation du respect, par le fournisseur audité, de l’article 37, paragraphe 2, du règlement (UE) 2022/2065 en ce qui concerne l’audit courant.

3. Lorsque l’audit ou les audits précédents mentionnés au paragraphe 1 ont été réalisés par le même organisme d’audit que l’audit courant, ou lorsque l’organisme d’audit qui réalise l’audit courant comprend au moins une entité juridique ayant participé à l’audit antérieur, le rapport d’audit expose les mesures prises par l’organisme d’audit pour assurer l’objectivité de l’évaluation.

Article 17
Contrôle du respect des codes de conduite et des protocoles de crise

1. Le fournisseur audité met à la disposition de l’organisme d’audit:

• a) la liste et le texte de tous les codes de conduite mentionnés aux articles 45 et 46 du règlement (UE) 2022/2065 et des protocoles de crise mentionnés à l’article 48 dudit règlement, dont le fournisseur audité est signataire;
• b) une liste détaillée des engagements pris par le fournisseur audité dans le cadre de ces codes de conduite et protocoles de crise;
• c) le cas échéant, les indicateurs clés de performance convenus dans le cadre de chaque code de conduite et de chaque protocole de crise;
• d) le cas échéant, toute mesure, toute donnée et toute documentation disponibles, ainsi que tout rapport préparé par le fournisseur audité en ce qui concerne le respect, par lui-même, des engagements pris, y compris l’accès à toutes les informations et données pertinentes relatives au fonctionnement des services qu’il offre en rapport avec la mise en oeuvre du code de conduite ou du protocole de crise;
• e) le cas échéant, d’autres mesures, données et documentations préparées par les signataires du code de conduite ou du protocole de crise, ainsi que les évaluations effectuées par la Commission ou le comité mentionnées à l’article 45, paragraphe 4, du règlement (UE) 2022/2065.

2. L’évaluation du respect, par le fournisseur audité, des codes de conduite mentionnés à l’article 45 du règlement (UE) 2022/2065 comprend, sans s’y limiter, le mesurage des indicateurs clés de performance convenus dans le code de conduite en application de l’article 45, paragraphe 3, dudit règlement, en précisant le seuil de signification des conclusions de l’audit et si les données communiquées sont exactes.

SECTION V
Dispositions finales

Article 18
Entrée en vigueur

Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.

Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.

Fait à Bruxelles, le 20 octobre 2023.

Par la Commission
La présidente
Ursula VON DER LEYEN
                
(1) JO L 277 du 27.10.2022, p. 1.

ANNEXE I
MODÈLE DE RAPPORT D’AUDIT MENTIONNÉ À L’ARTICLE 6

Table des matières


SECTION B: Organisme(s) d’audit
Pour la section ci-dessous, insérer autant de lignes que nécessaire par point.

1. Nom de l’organisme ou des organismes d’audit:
.............................................................................................................................

2. Informations sur l’équipe d’audit de l’organisme d’audit:
Pour chaque membre de l’équipe d’audit, fournir:
1) le nom de la personne;
2) l’organisme individuel, faisant partie de l’organisme d’audit, auquel la personne est affiliée;
3) l’adresse électronique professionnelle de la personne;
4) une description des responsabilités de la personne et du travail qu’elle a effectué au cours de l’audit.
.............................................................................................................................

3. Qualifications des auditeurs:
.............................................................................................................................
a) Aperçu des qualifications professionnelles des personnes qui ont effectué l’audit, y compris les domaines d’expertise et les certifications, le cas échéant:
.........................................................................................................................
b) Les documents attestant que l’organisme d’audit satisfait aux exigences énoncées à l’article 37, paragraphe 3, point b), du règlement (UE) 2022/2065 ont été joints en annexe au présent rapport:
.............................................................................................................................

4. Indépendance des auditeurs:
a) Déclaration d’intérêt:
.........................................................................................................................
b) Références aux normes pertinentes pour l’indépendance de l’équipe d’audit auxquelles adhèrent l’organisme ou les organismes d’audit:
.........................................................................................................................
c) Liste des documents attestant que l’organisme d’audit respecte les obligations prévues à l’article 37, paragraphe 3, points a) et c), du règlement (UE) 2022/2065 joints en annexe du présent rapport:
.............................................................................................................................
5. Références aux normes d’audit appliquées dans le cadre de l’audit, le cas échéant:
.............................................................................................................................
6. Références aux normes de gestion de la qualité auxquelles l’organisme d’audit adhère, le cas échéant:
.............................................................................................................................







SECTION F.1: Tiers consultés
Reproduire la présente section pour chaque tiers consulté, en incrémentant à chaque fois d’une unité le numéro attribué à la section (par exemple, F.1, F.2, etc.).

1. Nom du tiers consulté:
.............................................................................................................................
2. Représentant et coordonnées du tiers consulté:
.............................................................................................................................
3. Date(s) de consultation:
.............................................................................................................................
4. Données fournies par le tiers:
.............................................................................................................................

SECTION G: Toute autre information que l’organisme d’audit souhaite inclure dans le rapport d’audit (telle qu’une description des éventuelles lacunes inhérentes)

Inclure autant de lignes que nécessaire conformément à la répartition des responsabilités et à l’habilitation visées à l’article 7, paragraphe 1, point b).

Date:                                                                Signé par:
...............................................................          ...............................................................

Lieu:                                                                Au nom de:
...............................................................         ...............................................................

Responsable de:
...............................................................

Annexes au rapport d’audit (le cas échéant):
Documents requis en vertu de l’article 7, paragraphe 2, du présent règlement.
Documents relatifs à l’analyse des risques d’audit conformément à l’article 9 du présent règlement.
Documents attestant que l’organisme d’audit respecte les obligations prévues à l’article 37, paragraphe 3, point a), du règlement (UE) 2022/2065.
Documents attestant que l’organisme d’audit respecte les obligations prévues à l’article 37, paragraphe 3, point b), du règlement (UE) 2022/2065.
Documents attestant que l’organisme d’audit respecte les obligations prévues à l’article 37, paragraphe 3, point c), du règlement (UE) 2022/2065.
Documentation et résultats de tout test effectué par l’organisme d’audit, y compris en ce qui concerne les systèmes algorithmiques du fournisseur audité.
Codes de conduite mentionnés aux articles 45 et 46 du règlement (UE) 2022/2065 en vertu desquels le fournisseur audité a pris des engagements, y compris une indication claire de tout engagement pris et de tout indicateur clé de performance convenu pour cet engagement.
Protocoles de crise mentionnés à l’article 48 du règlement (UE) 2022/2065 mis en oeuvre par le fournisseur audité.
Toute autre annexe que l’organisme d’audit souhaite inclure.

ANNEXE II
MODÈLE DE RAPPORT SUR LA MISE EN OEUVRE DES RECOMMANDATIONS D’AUDIT MENTIONNÉ À L’ARTICLE 6

Table des matières

SECTION A: Informations générales

1. Fournisseur audité:
.............................................................................................................................
2. Adresse du fournisseur audité:
.............................................................................................................................
3. Rapport d’audit sur lequel se fonde le présent rapport de mise en oeuvre
Date d’adoption du rapport d’audit: .......................................................................................
Référence au rapport d’audit (par exemple, une URL):
.............................................................................................................................
4. Informations sur l’audit sous-jacent et les parties concernées (voir les sections A et B du rapport d’audit de référence):
.............................................................................................................................
5. Le rapport sur la mise en oeuvre des recommandations d’audit fait-il référence à un rapport d’audit sur le respect de l’ensemble des obligations et engagements visés à l’article 37, paragraphe 1, du règlement (UE) 2022/2065 qui s’appliquent au fournisseur audité?
Oui/Non (si «Non», indiquer les obligations et engagements couverts par le rapport d’audit de référence)
.............................................................................................................................
6. Le cas échéant, références à d’autres rapports d’audit conformément à l’article 37 du règlement (UE) 2022/2065 auxquels le fournisseur audité est ou sera soumis concernant la période auditée:
.............................................................................................................................