Enquête silencieuse : le point de vue d’un enquêteur sur les preuves électroniques

Affichez la page en: English

Voici probablement les deux questions que se pose le plus souvent un enquêteur avant de se mettre au travail : 

  • Par où doit-on commencer?
  • Où faut-il s’arrêter?

Ces questions peuvent être particulièrement complexes dans le cas des enquêtes de grande envergure (FCPA[1] SEC, etc.) qui doivent être menées au-delà de plusieurs frontières, les preuves documentaires étant parfois difficiles à identifier en raison des cultures et pratiques organisationnelles différentes.

La plupart des enquêteurs ont l’habitude d’évaluer la progression de l’enquête en fonction du nombre d’entrevues personnelles effectuées. Ainsi, dès qu’ils découvrent un élément qui semble problématique, ils déploient les troupes et commencent à interroger les personnes qui pourraient fournir des informations pertinentes.

Cette réaction est généralement due au sentiment d’urgence que suscite la situation. Nous savons tous qu’il est important d’agir rapidement pour limiter les dommages et déterminer l’étendue du problème, mais la façon de procéder de certains enquêteurs n’est pas toujours celle qui convient le mieux. 

Au risque de tomber dans le piège des stéréotypes, je crois que cette ère électronique nous permet d’effectuer une grande partie de nos enquêtes sans attirer l’attention, d’où le titre de cet article.

Il suffit de penser à tout le travail qui peut être effectué avant de commencer les entrevues pour s’en convaincre. Pensez aux réalisations en termes d’efficacité opérationnelle, de gestion des risques et de contrôle des coûts. Voici quelques exemples :

  • Efficacité : Une recherche dans les courriels, les données sur les opérations et les autres documents électroniques avant les entrevues permettra à l’intervieweur d’adopter une approche plus ciblée et de mieux évaluer les renseignements fournis.
  • Préservation des preuves : La préservation des sources d’information potentielles pour éviter que l’information sensible ne soit communiquée au sein de l’entreprise et le risque de destruction volontaire ou non de l’information.
  • Approche fondée sur les risques : Utilisation des techniques d’analyse de données pour identifier les points sensibles (emplacement géographique, comptes, types d’opérations, etc.).
  • Grande discrétion : L’analyse des données peut se faire en arrière-plan, de façon à minimiser l’interruption des activités quotidiennes de l’entreprise. La plupart du temps l’analyse des données peut se faire à l’écart, loin des regards. L’opération accapare un nombre minimal de personnes et, lorsque les ressources appropriées sont mises à contribution, beaucoup de travail peut être fait.

Par où doit-on commencer?

La plupart du temps, les spécialistes commencent par la préservation des sources d’informations potentielles (en formats électronique et papier). Il ne s’agit pas de tout conserver, mais plutôt d’acquérir et de pouvoir démontrer une solide compréhension de l’environnement informatique, y compris le stockage et l’archivage des données, et d’assurer l’examen minutieux de l’information pertinente. Un examen bien planifié et l’application d’une méthode de préservation des documents raisonnable et valable pourraient convenir à toutes les parties concernées.

La préservation des documents nécessite généralement des discussions avec les représentants des services du contentieux, des finances, des TI, des ressources humaines et des autres unités fonctionnelles pertinentes. L’accent ne doit pas être mis sur les politiques qui régissent la conservation des documents, mais plutôt sur les pratiques. La question est de savoir ce qui est réellement disponible, pas ce qui devrait l’être. Par exemple, le chef de l’information peut connaître les politiques relatives à la conservation des documents, mais c’est le directeur des TI qui sait que le lecteur de sauvegarde ne fonctionne pas depuis quelques mois, ou que les enregistrements n’ont pas été détruits il y a quelques années après la migration des données. Ainsi, si les documents pertinents existent, ils devront fort probablement être produits, quelles que soient les politiques de conservation de la société.

Pour ce qui est de la production, l’étendue de la préservation dépend en partie des intérêts des parties concernées. Par exemple, même si l’on a décidé de limiter l’étendue de l’enquête à deux années spécifiques, la préservation des documents ne doit pas nécessairement se limiter à ces années. Dans la plupart des pays, l’accent est mis sur l’information pertinente qui pourrait être requise par toutes les parties concernées pour étayer leurs positions respectives. J’ai eu connaissance d’une situation dans laquelle une société a limité son enquête sur une fraude commise par un employé, pour des raisons financières. Elle a ainsi uniquement conservé les documents relatifs aux trois années les plus récentes pour étayer son enquête, confiante que cela lui permettrait de recueillir suffisamment de preuves pour congédier l’employé pour une cause juste et suffisante. Toutefois, dans l’entrevue préliminaire avec le supérieur qui enquêtait sur la fraude présumée, l’employé a clamé son innocence, affirmant qu’il avait posé les gestes reprochés par suite d’une entente convenue entre lui et son directeur six ans plus tôt. La société aurait eu intérêt à conserver tous les renseignements pertinents sur une période de six ans en prévision d’un litige éventuel.

Le processus de préservation dépend également de plusieurs autres facteurs. Par exemple, nous devons tenir compte des lois qui s’appliquent dans les divers pays en matière de protection des renseignements personnels et d’exportation de données ainsi que des politiques organisationnelles et des représentants des syndicats.

Notre objectif ne se limite pas à la sauvegarde des données, mais également à la préservation de leur intégrité et de leur authenticité. Par exemple, la copie des données d’un serveur sur un disque dur extérieur pour leur sauvegarde ne garantit pas nécessairement la préservation des métadonnées, les données relatives à la création, à la modification ou à l’accès du document pouvant être altérées au cours du transfert.

Où faut-il s’arrêter?

À une époque ancienne (il y a de cela trois ou quatre années informatiques), l’analyse des données était perçue comme un complément à l’enquête. De nos jours, l’analyse des données est l’élément moteur de l’enquête.

Les données se présentent sous plusieurs catégories et formats. Les outils et les méthodes utilisés pour les analyser varient selon la nature des données. Les courriels, par exemple, nous permettent de voyager dans le temps et de suivre les activités et les discussions quotidiennes.

L’utilisation des bases de données est devenue courante pour enregistrer et conserver les données relatives aux opérations [2] autres. La structure [3] des bases de données permet généralement d’effectuer diverses analyses et la complexité de ces analyses dépend de la somme de données saisies. Par exemple, le sommaire du fichier maître des fournisseurs peut donner un aperçu des fournisseurs et de leurs activités (nombre total de factures, paiements, notes de crédit, montant moyen des factures, etc.).

La plupart des enquêtes font appel à des données financières dont l’analyse nécessite souvent la collaboration des trois groupes suivants : les TI, les finances et le contentieux. L’équipe des TI participe à l’extraction et à la synthèse des données pertinentes, l’équipe des finances analyse les données afin de relever les opérations anormales et l’équipe du contentieux examine la valeur probante des observations.

Bien qu’il semble s’agir d’une démarche simple entre différents groupes de services, il faut savoir que ces trois groupes utilisent généralement des langages tout à fait différents. Par conséquent, certains éléments pourraient se perdre.

Bien qu’une étroite collaboration entre le contentieux et les finances puisse aider à rétrécir ce fossé langagier, la participation d’un analyste de données expérimenté permet non seulement de profiter de compétences techniques pour les questions complexes, mais également de comprendre le cycle de vie comptable et les données dont l’exhaustivité et l’exactitude doivent être testées.

Bref, nous vivons dans une décennie où la majorité des opérations et des communications sont faites par voie électronique. Plusieurs outils perfectionnés et méthodes qui ont fait leurs preuves peuvent nous aider à filtrer les données pour découvrir la vérité et acquérir une meilleure compréhension du problème et des personnes qui pourraient être en cause. L’expérience montre que l’analyse préliminaire des données et l’examen de la correspondance électronique donnent lieu à des enquêtes plus efficaces et efficientes.

[1] Foreign Corrupt Practices Act
[2] Données relatives aux opérations : commandes, factures, paiements, plans, registre des activités, livraisons, registre des déplacements, etc.
[3] Données structurées : données dans un champ fixe des documents ou dossiers, tels que les bases de données relationnelles et les chiffriers électroniques.

La version anglaise de cet article a initialement été publiée dans le bulletin Avocates E-Briefa de l’automne 2009. Nous avons été autorisés à le reproduire.