AMRAE – La sagesse du risque, pour une immunité collective – 3-4 février 2021. Ce qui se cache derrière ce titre. A lire et re (voir).

Merci à Cécile DESJARDINS de relayer mes propos dans son article « Management du Risques : le retour de l’humilité. » Les Echos, 3 février 2021.

2020 : année stratégique pour le Risk Management et le Risk Manager. Le RM a gagné en légitimité cognitive (Suchman, 1995). Elle est le « graal de la légitimité » : écoute encore plus attentive de la DG, accès renforcé aux opérationnels, une fonction plus visible. En montrant quel était son rôle, le RM a également gagné en légitimité personnelle : expérience, connaissance de son groupe, de son activité et des opérations, sens de la communication pour se faire entendre en toute liberté de la DG et des opérationnels (sensibiliser, faire prendre conscience des risques, alerter tout en sachant rassurer).

A lire : le dossier RISK MANAGEMENT 2021, Les Echos, 3 février 2021.

Le rendez-vous annuel des responsables des risques en entreprise ne s’est pas tenu à Deauville cette année. Face à une pandémie à rebonds, l’AMRAE (Association pour la Gestion des risques et des Assurances dans les Entreprises) a choisi une rencontre en ligne pour faire le point sur les grands enjeux de la profession, mise à l’épreuve par une crise mondiale sans précédent.

A (re)voir : les REPLAYS des tables rondes. Gratuitement – il suffit de s’inscrire) à cette adresse : https://lnkd.in/eEpjQSy

Exemples de thèmes abordés : Risques, climat et RSE ; Risques RH et associés ; Cyberrisque ; Gestion globale des risques ; Financement des risques par les assureurs intégrant le riskmanagement.

Ces thèmes, à l’exception du dernier, ont fait l’objet de nombreux articles dans ce blog (voir Archives ou moteur de recherche). Je décris pourtant la logique de transfert du risque des assureurs vers les entreprises comme le 3ème facteur ayant contribué à faire du risque, une variable stratégique de la réflexion des entreprises. Je l’aborderai dans les publications des semaines à venir sur le blog.

https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

Sponsored Post Learn from the experts: Create a successful blog with our brand new courseThe WordPress.com Blog

WordPress.com is excited to announce our newest offering: a course just for beginning bloggers where you’ll learn everything you need to know about blogging from the most trusted experts in the industry. We have helped millions of blogs get up and running, we know what works, and we want you to to know everything we know. This course provides all the fundamental skills and inspiration you need to get your blog started, an interactive community forum, and content updated annually.

RGPD. BEST-PRACTICES ET PLANS D’ACTIONS

Le mois de janvier est consacré au RGDP, que j’appelle dans mes travaux un amplificateur de risques (p.47, chapitre 1) / https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html
Après le rappel du contexte réglementaire, les 1eréléments de bilan 2020 et les sanctions (Carrefour et Carrefour Banque, Google, H&M) je vous propose, à partir d’éléments communiqués par l’entreprise toulousaine I-Trust (Editeur de solutions de Cybersécurité), une synthèse de best practices issues des règles de l’ANSSI et des recommandations de la CNIL. Autant de best pratices à suivre et de plans d’actions à mettre en œuvre.

Les règles de conformité RGPD imposent aux entreprises de se sécuriser selon les meilleures pratiques issues des :

Les règles d’hygiènes et bonnes pratiques de l’ANSSI

# 4 : Identifier les informations et serveurs les plus sensibles et maintenir un schéma du réseau.

Maintenir la cartographie du SI et des informations sensibles via les tags RGPD.

# 5 : Disposer d’un inventaire des comptes privilégiés et les maintenir à jour.

Identifier les comptes privilégiés et de vérifier en continu leur mise à jour. 

# 7 : Autoriser la connexion au réseau de l’entité aux seuls équipements maîtrisés.

Détecter la connexion d’appareils étrangers au SI.

#8 : Identifier nommément chaque personne accédant au système et distinguer les rôles utilisateur/administrateur. Journalisation activée.

Détecter les comportements malveillants sur les opérations de comptes et les partages réseaux. 

Détecter les bruits de force de compte. 

# 10 : Définir et vérifier des règles de choix et de dimensionnement des mots de passe.

Détecter des mots de passe triviaux actifs sur le réseau.

# 12 : Changer les éléments d’authentification par défaut sur les équipements et services.

Détecter les mots de passe par défaut sur les équipements et services.

# 14 : Mettre en place un niveau de sécurité minimal sur l’ensemble du parc informatique. Cette règle concerne essentiellement des points de configuration (chiffrement disque, désactivation autorun, etc.).

# 18 : Chiffrer les données sensibles transmises par voie Internet.

Détecter la présence de services d’échange ou d’interface de connexion non sécurisés.

# 20 : S’assurer de la sécurité des réseaux d’accès Wi-Fi et de la séparation des usages.

Scanner la sécurité des équipements impliqués dans le WiFi (bornes, routeur, etc.)

#21 : Utiliser des protocoles réseaux sécurisés dès qu’ils existent.

Détecter les services en écoute qui ne garantissent pas la sécurité des transmissions.

# 22 : Mettre en place une passerelle d’accès sécurisé à Internet.

Scanner la sécurité de cette passerelle.

#34 : Définir une politique de mise à jour des composants du système d’information.

Détecter les problèmes d’obsolescence des composants.

#36 : Activer et configurer les journaux des composants les plus importants.

Effectuer une étude contextuelle du SI. Journaliser les éléments suivants : > pare-feu : paquets bloqués ; > systèmes et applications : authentifications et autorisations (échecs et succès), arrêts inopinés ; > services : erreurs de protocoles (par exemples les erreurs 403, 404 et 500 pour les services HTTP), traçabilité des flux applicatifs aux interconnexions (URL sur un relai HTTP, en-têtes des messages sur un relai SMTP, etc.). Pour se faire un centre opérationnel de sécurité doit être installé. 

#38 : Procéder à des contrôles et audits de sécurité régulier puis appliquer les actions correctives associées.

Auditer le réseau en continu et éliminer les vulnérabilités évidentes pour que les auditeurs puissent se concentrer sur les failles cachées.

Procéder à des contrôles et audits de sécurité réguliers pour appliquer les actions correctives associées. 

# 40 : Définir une procédure de gestion des incidents.

Surveiller en continu toute intrusion ou malveillance présente sur le SI.

# 42 : Privilégier l’usage de produits et de services qualifiés par l’ANSSI.

Obtenir la certification CSPN.

Les règles de la CNIL. Les fiches CNIL sur la sécurité des données personnelles. 

#Fiche 1 : Sensibiliser les utilisateurs

Formation au RGPD pour faire le point sur les nouvelles règles et connaître les outils qui sont obligatoires depuis mai 2018, afin de lancer la mise en conformité au plus tôt dans votre organisme.

Cette formation est adressée aux CIL/DPO/DSI/RSSI/Responsable qualité et conformité.

#Fiche 2 : Authentifier les utilisateurs.

Cartographie de l’ensemble du SI permettant de détecter la connexion d’appareils étrangers au SI. Il permet de détecter les protocoles d’accès et d’authentification (ssh/smtp/FTP/…)

#Fiche 3 : Gérer les habilitations.

#Fiche 4 : Tracer les accès et gérer les incidents.

#Fiche 5 : Sécuriser les postes de travail. 

#Fiche 6 : Sécuriser l’informatique mobile. 

#Fiche 7 : Protéger le réseau informatique interne.

#Fiche 8 : Sécuriser les serveurs.

#Fiche 9 : Sécuriser les sites web.

Cartographie de l’ensemble du réseau. Note de criticité et correctifs associés. Identification des vulnérabilités et logiciels non mis à jour de la plupart des périphériques et applications, y compris les firewalls, les serveurs, les systèmes d’exploitation de bureau, les imprimantes, les appareils sans fil, ainsi que de nombreux autres éléments.

RGPD. SANCTIONS. CARREFOUR. GOOGLE. H&m.

Le mois de janvier est consacré au RGDP, que j’appelle dans mes travaux un amplificateur de risques (p.47, chapitre 1) / https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

Au programme :

  • article / sanctions Carrefour France (2,25 millions euros) et Carrefour Banque (800 000 euros) / avec les délibérations et pour approfondir les références aux articles de la CNIL
  • article / sanctions Google LLC (60 millions d’euros) et Google Ireland Limited (40 millions d’euros)
  • article sanctions H&M (35 millions d’euros)

Sanctions de 2 250 000 euros et de 800 000 euros pour les sociétés CARREFOUR FRANCE et CARREFOUR BANQUE

26 novembre 2020


Saisie de plusieurs plaintes, la CNIL a sanctionné deux sociétés du groupe CARREFOUR pour des manquements au RGPD concernant notamment l’information délivrée aux personnes et le respect de leurs droits.

Saisie de plusieurs plaintes à l’encontre du groupe CARREFOUR, la CNIL a effectué des contrôles entre mai et juillet 2019 auprès des sociétés CARREFOUR FRANCE (secteur de la grande distribution) et CARREFOUR BANQUE (secteur bancaire). À cette occasion, la CNIL a constaté des manquements concernant le traitement des données des clients et des utilisateurs potentiels. La Présidente de la CNIL a donc décidé d’engager une procédure de sanction à l’encontre de ces sociétés.

À l’issue de cette procédure, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a effectivement considéré que les sociétés avaient manqué à plusieurs obligations prévues par le RGPD.

Elle a ainsi sanctionné la société CARREFOUR FRANCE d’une amende de 2 250 000 euros et la société CARREFOUR BANQUE d’une amende de 800 000 euros. En revanche, elle n’a pas prononcé d’injonction dès lors qu’elle a constaté que des efforts importants avaient permis la mise en conformité sur tous les manquements relevés.

Des manquements à l’obligation d’informer les personnes (article 13 du RGPD)

L’information fournie aux utilisateurs des sites carrefour.fr et carrefour-banque.fr comme aux personnes désirant adhérer au programme de fidélité ou à la carte Pass n’était pas facilement accessible (accès à l’information trop compliqué, dans des documents très longs contenant d’autres informations), ni facilement compréhensible (information rédigée en des termes généraux et imprécis, utilisant parfois des formulations inutilement compliquées). De plus, elle était incomplète en ce qui concerne la durée de conservation des données.

Concernant le site carrefour.fr, l’information était également insuffisante en ce qui concerne les transferts de données hors de l’Union européenne et la base légale des traitements (fichiers).

Sur ce point, les sociétés ont modifié leurs mentions d’information et sites web durant la procédure pour se mettre en conformité.

Des manquements relatifs aux cookies (article 82 de la loi Informatique et Libertés)

La CNIL a constaté que, lorsqu’un utilisateur se connectait au site carrefour.fr ou au site carrefour-banque.fr, plusieurs cookies étaient automatiquement déposés sur son terminal, avant toute action de sa part. Plusieurs de ces cookies servant à la publicité, le consentement de l’utilisateur aurait pourtant dû être recueilli avant le dépôt.

Les sociétés ont modifié, durant la procédure, le fonctionnement de leurs sites web. Plus aucun cookie publicitaire n’est désormais déposé avant que l’utilisateur n’ait donné son accord.

Un manquement à l’obligation de limiter la durée de conservation des données (article 5.1.e du RGPD)

La société CARREFOUR FRANCE ne respectait pas les durées de conservation des données qu’elle avait fixées. Les données de plus de vingt-huit millions de clients inactifs depuis cinq à dix ans étaient ainsi conservées dans le cadre du programme de fidélité. Il en était de même pour 750 000 utilisateurs du site carrefour.fr inactifs depuis cinq à dix ans.

Par ailleurs, en l’espèce, la formation restreinte considère qu’une durée de conservation de 4 ans des données clients après leur dernier achat est excessive. En effet, cette durée, initialement retenue par la société, excède ce qui apparaît nécessaire dans le domaine de la grande distribution, compte tenu des habitudes de consommation des clients qui font principalement des achats réguliers. 

Pendant la procédure, la société CARREFOUR FRANCE a engagé d’importants moyens pour procéder aux modifications nécessaires à sa mise en conformité avec le RGPD. Toutes les données trop anciennes ont notamment été supprimées.

Un manquement à l’obligation de faciliter l’exercice des droits (article 12 du RGPD)

La société CARREFOUR FRANCE exigeait, sauf pour l’opposition à la prospection commerciale, un justificatif d’identité pour toute demande d’exercice de droit. Cette demande systématique n’était pas justifiée dès lors qu’il n’existait pas de doute sur l’identité des personnes exerçant leurs droits. Par ailleurs, la société n’a pas été en mesure de traiter dans les délais exigés par le RGPD plusieurs demandes d’exercice de droits.

Sur ces deux points, la société a modifié ses pratiques durant la procédure. Elle a notamment déployé d’importants moyens humains et organisationnels pour répondre à l’ensemble des demandes reçues dans un délai inférieur à un mois.

Un manquement au respect des droits (articles 15, 17 et 21 du RGPD et L34-5 du Code des postes et des communications électroniques)

Tout d’abord, la société CARREFOUR FRANCE n’a pas donné suite à plusieurs demandes de personnes souhaitant accéder à leurs données personnelles. La société s’est rapprochée de toutes les personnes concernées durant la procédure.

Ensuite, dans plusieurs cas, la société n’a pas procédé à l’effacement de données demandé par plusieurs personnes alors qu’elle aurait dû le faire. Sur ce point également, la société a fait droit à toutes les demandes durant la procédure.

Enfin, la société n’a pas pris en compte plusieurs demandes de personnes s’étant opposées à recevoir de la publicité par SMS ou courrier électronique, notamment en raison d’erreurs techniques ponctuelles. La société s’est mise en conformité durant la procédure sur ce point également.

Un manquement à l’obligation de traiter les données de manière loyale (article 5 du RGPD)

Lorsqu’une personne souscrivant à la carte Pass (carte de crédit pouvant être rattachée au compte fidélité) souhaitait également adhérer au programme de fidélité, elle devait cocher une case indiquant qu’elle acceptait que CARREFOUR BANQUE communique à « Carrefour fidélité » son nom, son prénom et son adresse de courrier électronique. CARREFOUR BANQUE indiquait explicitement qu’aucune autre donnée n’était transmise. La CNIL a pourtant constaté que d’autres données étaient transmises, comme l’adresse postale, le numéro de téléphone et le nombre de ses enfants, bien que la société se fût engagée à ne transmettre aucune autre donnée.

Sur ce point, la société a modifié ses pratiques durant la procédure. Elle a entièrement refondu son parcours de souscription en ligne à la carte Pass et les personnes sont désormais informées de l’ensemble des données transmises à la société CARREFOUR FRANCE.

Les délibérations

> Délibération de la formation restreinte n° SAN-2020-008 du 18 novembre 2020 concernant la société CARREFOUR FRANCE 

> Délibération de la formation restreinte n° SAN-2020-009 du 18 novembre 2020 concernant la société CARREFOUR BANQUE 

Pour approfondir

> La procédure de sanction

Les textes de référence

> Article 5 du règlement général sur la protection des données (principes relatifs au traitement des données personnelles) 

> Article 5.1.e du RGPD (conservation des données) 

> Article 12 du RGPD (transparence des informations et des communications et modalités de l’exercice des droits de la personne concernée) 

> Article 13 du RGPD (informations à fournir lorsque des données personnelles sont collectées auprès de la personne concernée) 

> Article 15 du RGPD (droits de la personne concernée) 

> Article 17 du RGPD (droit à l’effacement ou droit à l’oubli) 

> Article 21 du RGPD (droit d’opposition) 

> Article 82 de la loi Informatique et Libertés (droits et obligations propres aux traitements dans le secteur des communications électroniques) 

> Article L34-5 du Code des postes et des communications électroniques 

Cookies : sanction de 60 millions d’euros à l’encontre de GOOGLE LLC et de 40 millions d’euros à l’encontre de GOOGLE IRELAND LIMITED

10 décembre 2020

Le 7 décembre 2020, la formation restreinte de la CNIL a sanctionné les sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED d’un montant total de 100 millions d’euros d’amende, notamment pour avoir déposé des cookies publicitaires sur les ordinateurs d’utilisateurs du moteur de recherche google.fr sans consentement préalable ni information satisfaisante.

Le 16 mars 2020, la CNIL a effectué un contrôle en ligne sur le site web google.fr qui a permis de constater que lorsqu’un utilisateur se rendait sur ce site, des cookies étaient automatiquement déposés sur son ordinateur, sans action de sa part. Plusieurs de ces cookies poursuivaient un objectif publicitaire.

Les manquements à la loi Informatique et Libertés

La formation restreinte, organe de la CNIL chargé de prononcer les sanctions, a relevé trois violations à l’article 82 de la loi Informatique et Libertés :

Un dépôt de cookies sans recueil préalable du consentement de l’utilisateur

Lorsqu’un utilisateur se rendait sur la page google.fr, plusieurs cookies poursuivant une finalité publicitaire étaient automatiquement déposés sur son ordinateur sans action de sa part.

Ce type de cookies ne pouvant être déposé sans que l’utilisateur ait exprimé son consentement, la formation restreinte a considéré que les sociétés n’avaient pas respecté l’exigence prévue par l’article 82 de la loi Informatique et Libertés de recueil préalable du consentement avant le dépôt de cookies non essentiels au service.

Un défaut d’information des utilisateurs du moteur de recherche google.fr

Lorsqu’un utilisateur se rendait sur la page google.fr, un bandeau d’information s’affichait en pied de page, portant la mention suivante « Rappel concernant les règles de confidentialité de Google » en face de laquelle figuraient deux boutons intitulés « Me le rappeler plus tard » et « Consulter maintenant ».

Ce bandeau ne fournissait à l’utilisateur aucune information relative aux cookies qui avaient pourtant déjà été déposés sur son ordinateur, dès son arrivée sur le site. Cette information ne lui était pas non plus fournie lorsqu’il cliquait sur le bouton « Consulter maintenant ».

La formation restreinte a donc estimé que l’information fournie par les sociétés ne permettait pas aux utilisateurs résidant en France d’être préalablement et clairement renseignés quant au dépôt de cookies sur leur ordinateur ni, par conséquent, des objectifs de ces cookies et des moyens mis à leur disposition quant à la possibilité de les refuser.

La défaillance partielle du mécanisme « d’opposition »

Lorsqu’un utilisateur désactivait la personnalisation des annonces sur la recherche Google en recourant au mécanisme mis à sa disposition à partir du bouton « Consulter maintenant », un des cookies publicitaires demeurait stocké sur son ordinateur et continuait de lire des informations à destination du serveur auquel il est rattaché.

La formation restreinte a donc estimé que le mécanisme « d’opposition » mis en place par les sociétés était partiellement défaillant, en violation de l’article 82 de la loi Informatique et Libertés.

La sanction prononcée par la formation restreinte

La formation restreinte a sanctionné la société GOOGLE LLC d’une amende de 60 millions d’euros et la société GOOGLE IRELAND LIMITED d’une amende de 40 millions d’euros, rendues publiques.

La formation restreinte a justifié ces montants au regard de la gravité du triple manquement précité à l’article 82 de la loi Informatique et Libertés.

Elle a également souligné la portée du moteur de recherche Google Search en France et le fait que les pratiques des sociétés ont affecté près de cinquante millions d’utilisateurs.

Enfin, elle a relevé les bénéfices considérables que les sociétés tirent des revenus publicitaires indirectement générés à partir des données collectées par ces cookies publicitaires.

La formation restreinte a pris acte que, depuis une mise à jour de septembre 2020, les sociétés cessent de déposer automatiquement les cookies publicitaires dès l’arrivée de l’utilisateur sur la page google.fr.

Elle a néanmoins relevé que le nouveau bandeau d’information mis en œuvre par les sociétés lors de l’arrivée sur la page google.fr ne permettait toujours pas aux utilisateurs résidant en France de comprendre les finalités pour lesquelles les cookies sont utilisés et ne les informait pas du fait qu’ils pouvaient refuser ces cookies.

Dès lors, en complément des amendes administratives, la formation restreinte a également adopté une injonction sous astreinte afin que les sociétés procèdent à une information des personnes conforme à l’article 82 de la loi Informatique et Libertés dans un délai de 3 mois à compter de la notification. Dans le cas contraire, les sociétés s’exposeront au paiement d’une astreinte de 100 000 euros par jour de retard.

Une compétence de la CNIL 

Dans sa délibération, la formation restreinte a rappelé que la CNIL est matériellement compétente pour contrôler et sanctionner les cookies déposés par les sociétés sur les ordinateurs des utilisateurs résidant en France. Elle a souligné ainsi que le mécanisme de coopération prévu par le RGPD (mécanisme de « guichet unique ») n’avait pas vocation à s’appliquer dans cette procédure étant donné que les opérations liées à l’utilisation des cookies relèvent de la directive « ePrivacy », transposée à l’article 82 de la loi Informatique et Libertés.

Elle a considéré qu’elle est également territorialement compétente en application de l’article 3 de la loi Informatique et Libertés car le recours à des cookies est effectué dans le « cadre des activités » de la société GOOGLE FRANCE qui constitue « l’établissement » sur le territoire français des sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED et y assure la promotion de leurs produits et services.

Elle a également estimé que les sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED sont conjointement responsables dès lors qu’elles déterminent toutes les deux les finalités et les moyens liés à l’usage des cookies.

L’articulation de la sanction avec les travaux de la CNIL sur les cookies

Dans le cadre de son plan d’action sur le ciblage publicitaire et pour tenir compte de l’entrée en application du RGPD, la CNIL a publié le 1er octobre 2020 ses lignes directrices modificatives ainsi qu’une recommandation portant sur l’usage de cookies et autres traceurs. La CNIL a demandé aux acteurs de se conformer aux règles ainsi clarifiées, en estimant que cette période d’adaptation ne devrait pas dépasser six mois.

À cette occasion, elle a néanmoins précisé qu’elle continuerait notamment à contrôler pleinement le respect des autres obligations qui n’ont fait l’objet d’aucune modification et le cas échéant, d’adopter des mesures correctrices pour protéger la vie privée des internautes.

Les obligations dont la CNIL sanctionne aujourd’hui le non-respect par les sociétés préexistaient au RGPD et ne font donc pas partie de celles qui ont été clarifiées par les nouvelles lignes directrices et la recommandation du 1er octobre 2020.

Note : La société GOOGLE LLC, établie en Californie, développe le moteur de recherche Google Search. La société GOOGLE IRELAND LIMITED, dont le siège est en Irlande, se présente comme le siège européen du groupe Google. La société GOOGLE FRANCE est l’établissement en France de la société GOOGLE LLC.

Une amende de 35 millions d’euros pour H&M qui a stocké les données personnelles des salariés

Ces faits ont été dévoilés en octobre 2019, lorsqu’une erreur informatique les a rendus accessibles, pendant quelques heures, à l’ensemble de l’entreprise.     

Une amende de plus de 35 millions d’euros a été prononcée contre l’enseigne H&M en Allemagne jeudi. Le groupe a été condamné pour avoir rassemblé et stocké des informations sur une centaine de salariés.

L’Allemagne a infligé jeudi une amende sans précédent de 35,3 millions d’euros au groupe de prêt-à-porter H&M, pour avoir enregistré des données privées de certains salariés à leur insu, a annoncé le centre de protection des données du pays jeudi.

« Large connaissance » de la vie privée des employés

« Une amende de 35 258 707,95 euros est requise contre H&M (…) pour une affaire de surveillance de plusieurs centaines de ses collaborateurs », a indiqué le Commissariat à la protection des données de Hambourg. Il s’agit du montant le plus important infligé par l’Allemagne à une entreprise au nom de la législation européenne sur la protection des données privées (RGPD), depuis son entrée en vigueur en 2018, a indiqué une porte-parole de l’institution.

Les autorités reprochent au groupe de prêt-à-porter d’avoir laissé des responsables d’un site H&M, à Nuremberg (sud), rassembler et stocker des informations sur leurs salariés, entre 2014 et 2019. « Certains de ces supérieurs ont acquis une large connaissance de la vie privée de leurs employés », a constaté le centre de protection.

Une erreur informatique

Après l’absence d’un collaborateur, les responsables du site organisaient systématiquement un entretien, traitant « des vacances », ou des « symptômes et diagnostics » du salarié, en cas de congés maladie. Ces informations étaient ensuite « enregistrées », stockées numériquement, et servaient à « établir des profils individuels ».

H&M insiste sur l’aspect « local » de ces pratiques

Les supérieurs obtenaient également des éléments de vie privée de leurs collaborateurs lors de discussions informelles, notamment sur des « problèmes familiaux », ou des « croyances religieuses ». Ces données étaient ensuite « disponibles à la lecture pour jusqu’à 50 responsables du groupe ».

Réagissant à la décision des autorités allemandes, la marque de prêt-à-porter a présenté ses excuses pour des faits qu’elle estime « non conformes aux directives et instructions » du groupe. H&M insiste sur l’aspect « local » de ces pratiques, et affirme avoir « signalé immédiatement les faits » aux autorités, après en avoir pris connaissance.

Ces faits ont été dévoilés en octobre 2019, lorsqu’une erreur informatique les a rendus accessibles, pendant quelques heures, à l’ensemble de l’entreprise. 

L’Europe veut protéger la vie privée

Le Règlement européen de protection des données a renforcé les obligations des entreprises en termes de protection de la vie privée. Il prévoit des amendes pouvant aller jusqu’à 4% de leur chiffre d’affaires.

En 2019, l’Allemagne a déjà condamné le groupe immobilier Deutsche Wohnen à une amende de 14,5 millions d’euros pour avoir archivé des données sensibles de ses locataires. La France a de son côté infligé une sanction de 50 millions d’euros au géant de l’informatique Google, pour défaut d’information de ses utilisateurs de leurs données personnelles. L’amende la plus élevée a été infligée par le Royaume-Uni à la compagnie aérienne British Airways, qui a écopé en 2019 d’une sanction de 183 millions de livres (200 millions d’euros), pour un vol des données financières de centaines de milliers de ses clients.

RGPD. RAPPEL. BILAN 2020. QUELS PLANS D’ACTIONS ?

Je vous souhaite à tous une Excellente Année 2021 : respiration, aération, inspiration…
Le mois de janvier du blog sera consacré au RGDP, que j’appelle dans mes travaux un amplificateur de risques (p.47, chapitre 1) / https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html
Nous avons déjà abordé le sujet en 2019 et 2020. Vous pouvez relire en avril 2019 « RGPD, les sanctions tombent » et en avril 2020 « Le contexte réglementaire qui accentue l’intérêt des entreprises pour les risques liés au télétravail, à savoir le RGPD…» A retrouver dans les archives tout en bas du menu déroulant en bas à gauche.
Aujourd’hui, 11 janvier 2021. Rappel du contexte réglementaire : le RGPD. 1er éléments de bilan 2020 à partir de deux articles :
  • « Pourquoi le RGPD n’a (presque) rien changé pour les internautes » et constat d’un relatif échec
  • Quelques chiffres sur le montant des sanctions en Europe

Au programme. Le 18 janvier 2021

  • article / sanctions H&M
  • article / sanctions Google
  • article / sanctions Carrefour / avec les délibérations et pour approfondir les références aux articles de la CNIL

Au programme. Le 25 janvier 2021

  • Règles de l’ANSSI et de la CNIL à suivre / Quels Plans d’Actions ? (source : I-Trust)

Rappel du contexte réglementaire : le RGPD.

General Data Protection Regulation (GDPR) ou Réglement Général pour la Protection de données (RGPD)

Date : entrée en vigueur le 26 mai 2016 ; applicable à partir du 25 mai 2018.

Dispositif : le nouveau règlement européen modifie le cadre juridique relatif à la protection des données à caractère personnel au sein de l’Union européenne. Les entreprises devront déclarer aux autorités de leur pays (et dans certains cas aux personnes concernées) les violations de données à caractère personnel sous 72 heures en suivant les dispositions spécifiques du GDPR  et en conservant un registre de violation.

Champ d’application : toutes les entreprises qui collectent, traitent, et stockent des données à caractère personnel.

Sanctions : action judiciaire des individus pour réclamer des dommages et intérêts ; actions de groupe ; amende administrative jusqu’à 20 millions d’euros ou 4% du Chiffre d’Affaires mondial.

Il s’attarde sur les risques de notre époque post-moderne (violation de données, perte des données, traitement illicite de données…).

Pour en savoir plus : « Règlement Général pour la Protection des Données. Comment l’entreprise doit-elle protéger les données personnelles ?, Cahier technique de l’AMRAE, juillet 2018.

Quelques Chiffres

En 2020, le montant des amendes pour non-respect du RGPD s’élève à 171 millions d’euros. C’est l’Italie qui a infligé le plus de sanctions, avec 34 infractions constatées, soit un montant correspondant à 58,16 millions d’amendes.

Le nombre d’affaires croissant porté devant les autorités de protection des données personnelles devrait toutefois mener à une hausse du montant total de sanctions dans les années à venir, notamment après l’invalidation du Privacy Shield par la Cour de Justice européenne (CJUE).
En 2020, le montant des amendes pour non-respect du RGPD s’est élevé à 171 millions d’euros

C’est l’Italie qui a infligé le plus de sanctions.

Le classement des pays qui ont infligé le plus d’amendes au titre du règlement général sur la protection des données vient de sortir. Selon Finbold, le montant total des sanctions s’élève cette année à 171,3 millions d’euros. C’est l’Italie qui arrive en tête du classement avec 34 infractions constatées pour ses entreprises et un total de 58,16 millions d’euros d’amendes infligées.

L’étonnante dernière position de l’Irlande

En mai 2018, après plusieurs années de réflexion et de travail, le RGPD voyait le jour. Ce règlement européen précède à la directive 95/46/CE instaurée en 1995 par le Parlement Européen. Un véritable chantier juridique qui semble désormais porter ses fruits. En effet, si entre mai 2018 (date d’entrée en vigueur du texte) et janvier 2020, seulement 114 millions d’euros d’amendes avaient été comptabilisés, entre janvier 2020 et décembre 2020, le montant total des sanctions est plus élevé. Il atteint précisément 171,3 millions d’euros.

Il est intéressant de s’arrêter sur le classement des pays. Premier constat étonnant : l’Irlande est en dernière position dans ce classement des pays qui ont infligé le plus d’amendes au titre du RGPD. Seulement 630 000 euros d’amendes. Ce pays est pourtant le centre névralgique de la protection des données. C’est là que Google, Facebook, LinkedIn, Microsoft, Airbnb, Hubspot, Stripe, Smartbox, Dropbox, Slack, Salesforce ou encore IBM ont leur siège social… Des entreprises susceptibles de ne pas respecter le règlement général sur la protection des données.

La France inflige 3 millions d’euros d’amendes

En première position de ce classement, nous retrouvons l’Italie. La Garante per la protezione dei dati personali, l’équivalent de la Cnil en Italie, a délivré un total de 58,16 millions d’euros d’amendes. Parmi les entreprises concernées, nous retrouvons Eni Gas et Luce, un fournisseur italien d’électricité et de gaz. L’entreprise a dû s’acquitter d’une grosse amende de 11,5 millions d’euros. Le Royaume-Uni se classe en deuxième position avec 49,3 millions d’euros d’amendes. On se souvient notamment de l’amende prononcée à l’encontre de British Airways.

L’Allemagne est troisième avec 37,39 millions d’euros d’amendes. Ensuite nous retrouvons la Suède, l’Espagne et la France en sixième position avec seulement 3 millions d’euros d’amendes. L’amende la plus importante est celle dont Carrefour Banque a dû s’acquitter en fin d’année. En 2021, l’invalidation du Privacy Shield par la Cour de justice européenne (CJUE) devrait représenter un véritable défi pour les autorités de protection des données. 5 300 entreprises sont concernées et cela rebat totalement les cartes des flux de données. Enfin, notons que malgré le Brexit, le RGPD reste applicable jusqu’en juillet 2021.

Par Valentin Cimino 

 

TOUT SAVOIR SUR LA GESTION DES RISQUES ET LE RISK MANAGER EN FRANCE. UNE LECTURE DE Noel : « LA FONCTION RISK MANAGER : ORGANISATION, MÉTHODES ET POSITIONNEMENT » !  

Merci d’avoir suivi mon blog.

A la rentrée : retour sur le rôle du législateur-régulateur comme amplificateur de risques avec les premières sanctions pour infraction au RGPD, point sur le marché des assurances, le rôle des captives…

Je terminerai l’année civile sur ce conseil de lecture. Ce sera le dernier post avant 2021.

Lien vers l’ouvrage : https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

Risque de Reputation : Quelles Evolutions ? Médias, E-REPUTATION, ETHIQUE

Risque de Réputation. Définition

Dans notre ouvrage « La Fonction Risk Manager. Organisation, Méthodes et Positionnement », Editions Gereso, 2019, Nicolas Dufour et moi-même reprenons la définition de Rayner (2003) : « toute action, évènement ou circonstance qui pourrait avoir un impact positif ou négatif sur la réputation d’un organisme…ou encore… comme un ensemble de perceptions et opinions présentes ou passées sur un organisme, nichées dans la conscience des parties prenantes. » p.35

https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

Voir blog janvier 2020 / « What Price Reputation ? Impact d’une dégradation de l’image sur la valorisation boursière. »

Voir blog septembre 2020 / « Risque de réputation. Définition, illustration à travers les affaires Nike 1990-2000, 2020. »

Risque de Réputation. Les médias comme amplificateur de risque.

Nous présentons les médias comme un des deux amplificateurs du risque qui a contribué à mettre en place l’image d’un monde plus risqué : « les médias tendent à amplifier la notion de responsabilité du dirigeant en cas de négligence et les logiques de compensation…Ces évolutions rendent les entreprises plus vulnérables et le risque est partout mais ce qu’elles craignent le plus, c’est la perte de réputation. » p.58.

Risque de Réputation. Evolutions : e-réputation ; éthique

Les entreprises doivent de plus en plus compter avec la viralité des réseaux sociaux. Le risque de réputation croise de plus en plus le risque éthique dans sa dimension développement durable et de plus en plus dans sa dimension gouvernance (respect des engagements pris).t soigner leur e-réputation. Le risque de réputation est exacerbé. Le rôle des médias et ces évolutions récentes (e-réputation / éthique de l’entreprise) sont très bien illustrés dans l’étude VISIBRAIN dont je vous propose un résumé ci-dessous.

Réputation des marques : 5 enjeux numériques à intégrer en 2021

2021, année de tous les dangers réputationnels ? A l’aune de cette année très particulière qui s’achève (enfin !) et qui aura dopé comme jamais les conversations et les contenus en ligne, Visibrain, la plateforme de veille d’Internet et des réseaux sociaux, a tracé 5 tendances majeures qui devraient perdurer, voire s’amplifier à l’encontre des marques et des entreprises. Points saillants d’un rapport instructif.

Pour le meilleur et pour le pire, l’année 2020 marque la consécration du digital dans la construction des réputations et des perceptions. Confinement oblige, jamais les citoyens ne se sont autant connectés sur les réseaux sociaux. Même si chaque génération a ses terrains numériques de prédilection, le volume des conversations et des partages de contenus n’a cessé de gonfler. La pandémie de la Covid-19 est évidemment le vecteur principal des commentaires des internautes. Néanmoins, les causes sociétales et environnementales ne sont pas en reste. Pour les marques et les entreprises, il s’avère plus que jamais d’être agile face aux menaces comme aux opportunités sous peine de réputation entamée.

Tendance n°1 : La réputation des marques est plus que jamais liée aux enjeux de société

Les débats sociétaux et environnementaux rattrapent et embarquent de plus en plus les marques. Même si ces dernières sont loin d’être demeurées à l’écart en lançant des programmes de développement durable, en soutenant des initiatives citoyennes et en se préoccupant davantage de leur raison d’être, elles sont de plus en plus souvent interpelées, voire sommées de s’engager et prendre des positions sur un sujet donné. En 2020, les thèmes n’ont pas manqué. Il y a bien sûr eu la crise sanitaire où les entreprises ont redoublé d’efforts pour apporter une contribution à mesure de leurs expertises et de leurs possibilités. Cela ne doit pas occulter d’autres causes qui ont tiré par la manche nombre de marques afin qu’elles évoluent dans leur positionnement ou leurs promesses.

A cet égard, on peut citer deux cas emblématiques : l’arrestation mortelle de George Floyd aux USA qui a entraîné l’explosion du mouvement #BlackLivesMatter et la campagne intense autour de l’esclavagisme de la minorité ouïghoure pratiqué par le gouvernement chinois. Dans le premier cas, plusieurs marques renommées ont senti le vent du boulet à tel point que le groupe Mars, propriétaire de la célèbre marque Uncle Ben’s, a décidé de se débarrasser de la bobine conviviale de son effigie face à la résurgence d’un passé esclavagiste dans les Etats du Sud. D’autres marques se sont engouffrées à leur tour dans le débat antiraciste mais non sans déclencher parfois des grincements de dent et des critiques cinglantes. Nike s’est aussi profondément impliqué avant de se faire flasher par le deuxième cas. Une ONG accuse en effet la marque d’exploiter le travail forcé des Ouïghours dans des manufactures chinoises.

Ces illustrations montrent concrètement que les entreprises ne peuvent plus ignorer la tectonique permanente des enjeux de société. Le rapport Visibrain note ainsi : « La RSE, qui était jusqu’alors un moyen de différenciation, est aujourd’hui un prérequis. Il en va de même pour le bien-être animal, l’égalité homme-femme, mais aussi le respect des droits de l’Homme, autant de causes qui prennent de plus en plus de place sur la scène sociale et pour lesquelles il faudra rendre des comptes en cas de mauvaises conduites. Ainsi, le degré d’engagement social d’une marque contribue directement sur sa perception, positivement comme négativement ».

Tendance n°2 : La distinction entre médias, influenceurs et réseaux sociaux s’efface

En perte de vitesse auprès de certaines cibles qui les suspectent de mentir ou cacher des choses et majoritairement ignorés des plus jeunes générations, les médias classiques souffrent. Ils restent certes d’indéniables carrefours d’audience et exercent encore une influence dans la narration de la société. Néanmoins, ils sont de plus en plus challengés par ce que Visibrain appelle des « médias hybrides » : « Ils s’appellent Brut, Mediavenir ou encore Loopsider et, durant la crise, leur part de voix a explosé sur les réseaux sociaux. Ils jouent parfaitement avec les codes des plateformes sociales, ce qui explique en partie leur succès. Ils se font également connaître grâce à certains de leurs journalistes, qui deviennent de véritables influenceurs ! ».

A ce brouillage des périmètres informationnels, doit s’ajouter le poids prégnant des influenceurs mais aussi et surtout des communautés activistes. Ces militants ont véritablement fait du « online » le champ d’expérimentation et d’action pour aller tacler les entreprises qui se situent à rebours de leurs convictions. Visibrain a identifié un schéma récurrent dans leur mode d’action :

  1. Une phase préparatoire où les groupes échangent via des messageries instantanées (WhatsApp, Telegram) qui sous le radar des veilles digitales ou des plateformes plus discrètes comme Discord.
  2. Une phase de transmission où les messages échafaudés contre les cibles désignées vont tenter de percoler et de circuler en masse sur les réseaux sociaux. C’est d’ailleurs à ce moment précis qu’une veille digitale de ce nom peut alerter une marque ou une entreprise.
  3. Une phase de contamination qui à l’instar du fonctionnement des virus, marque une amplification de la campagne (au-delà même des communautés de départ) allant ainsi toucher un plus large public et des médias classiques.

Tendance n°3 : La réputation des marques est un enjeu sur tous les réseaux sociaux sans exception

Pendant longtemps, les foyers infectieux de bad buzz étaient principalement cantonnés sur Twitter en premier lieu puis Facebook. Là aussi, la donne s’est substantiellement modifiée. Instagram est entré dans la danse des avatars réputationnels avec notamment la polémique autour du Slip Français où deux employés avaient diffusé des vidéos à caractère raciste. Pour Visibrain, cette porosité pourrait continuer de s’étendre en 2021, en particulier sur TikTok, le réseau en pointe actuellement où les marques se font déjà bousculer. Elles y sont quotidiennement citées comme #Mcdonalds cité dans 412 900 vidéos, #Amazon 289 000, #Zara 176 900, voire des enseignes moins attendues comme Super U (803 vidéos). Et la tonalité n’est pas toujours tendre et flatteuse.

Cette évolution va certes complexifier les stratégies de veille en ligne chez les annonceurs et obliger à segmenter plus finement. Pourtant, il va falloir aller de l’avant et s’imprégner de ces réseaux où marques et entreprises ne sont pas toujours à l’aise car les codes de communication sont nettement différents et très générationnels. Pour autant, faire l’impasse équivaudrait à prendre des risques réputationnels conséquents. Sur Instagram par exemple, les groupes activistes n’hésitent pas à infiltrer des conversations nées à partir d’un profil pour faire valoir leurs points de vue.

Tendance n°4 : La snack-vidéo, LE format de 2021

Effet collatéral du confinement : notre consommation d’écran s’est orientée à la hausse, avec notamment le besoin de rire et de décompresser via le partage de vidéos courtes et drôles. Visibrain l’assure : « En 2021, la snack-vidéo simple à consommer et à créer, s’imposera comme le format idoine du web ! C’est d’ailleurs durant le 1er confinement que TikTok, le réseau de la vidéo par excellence, a été propulsé sur le devant de la scène digitale ». Bien que TikTok réfléchisse actuellement à la possibilité d’allonger la durée de ses vidéos à 3 minutes, il est indéniable que ce format concis a vite fait des émules chez les concurrents. Instagram a répliqué avec les Reels, YouTube a dégainé Shorts et Snapchat a lancé avec Spotlight.

Ces formats très prisés constituent évidemment des opportunités de prise de parole pour les marques et les entreprises et se rapprocher ainsi de communautés plus jeunes pour lesquelles Facebook relève désormais de l’âge de pierre du numérique. Mais, comme à chaque évolution, il est important d’avoir conscience des potentielles chausse-trappes. La démarche devra être pertinente et authentique. Dans le cas contraire, une marque risquera alors de se prendre les pieds dans le tapis comme Jean-Luc Mélenchon et Marlène Schiappa qui à trop vouloir singer les codes, ont surtout été la risée des internautes.

Tendance n°5 : Fake News : un combat engagé mais pas encore gagné

C’est sans nul doute la tendance la plus préoccupante. L’OMS les a qualifiées d’« infodémie ». La Covid-19 les a amplifiées à ses dépens. Les Fake News (ou infox) vont plus que jamais se propager en 2021 et au-delà. Elle peuvent potentiellement toucher quiconque : personnalité, entreprise, marque, fait de société, cause. La liste est loin d’être close. Face à ce virus informationnel, il devient encore plus urgent et crucial de s’appuyer sur des dispositifs de veille pour anticiper et endiguer au maximum.

Si l’infox grossière est dorénavant vite éventée, la fake news élaborée est plus difficile à repérer et à contredire. Il y a notamment le phénomène croissant des vidéos « deep fake » qui font tenir des propos vrais ou faux à des personnalités en étant assemblés de manière très crédible. Or, le climat de défiance n’ayant toujours pas reflué, le fumet du conspirationnisme a encore de beaux jours devant lui. Pour Visibrain, le documentaire « Hold-Up » est le parangon de cette désinformation « raffinée » : « En jouant avec les codes, en mélangeant avis d’experts (personnalités du monde médical) et figures clivantes, déguisées en « grands gourous » du secteur, le film arrive à semer le doute auprès du grand public. Sur les réseaux sociaux, la sphère complotiste s’en donne à cœur joie ». Les entreprises ne sont plus à l’abri de ce type d’attaques réputationnelles. D’ailleurs, les laboratoires pharmaceutiques ont essuyé des tirs nourris à coups d’amalgames mixant du vrai, du vraisemblable et du carrément faux.

So what ?

En conclusion et en synthèse, le rapport Visibrain souligne avec acuité que « le climat sanitaire et social de 2020 a énormément joué sur les croyances tandis que la digitalisation du monde s’est accélérée, amplifiant les phénomènes de good buzz et de badbuzz. Désormais, tout se passe en ligne. La e-réputation devient la réputation, tout court. Il faut également intégrer que c’est la société, à l’échelle mondiale, qui est en crise. L’ignorance ne sera plus acceptée ».

Bien que cela ne soit pas forcément un horizon totalement réjouissant, l’avis de turbulences réputationnelles demeure plus que jamais un dossier stratégique et prioritaire pour les marques comme pour les entreprises. Consultant chez Image Sept, Antoine Dubuquoy formule joliment le défi qui s’annonce : « 2021 ne sera guère plus calme que les années précédentes. Nous sommes entrés dans l’ère des vérités alternatives, largement amplifiées par les réseaux sociaux. Nous sommes entrés dans une ère de défiance, une ère où la raison s’efface derrière la croyance […] L’attention des utilisateurs de réseaux sociaux est volatile, une indignation chassant l’autre, les rendant illisibles. Il est plus que jamais nécessaire de détecter en amont les signaux faibles et d’appliquer la vieille sagesse romaine, « Si vis pacem, para bellum» (NDLR : du latin « Si tu veux la paix, prépare la guerre »).

Blog O. Cimelière, Directeur-adjoint ESJ Entreprise.

ORGANISATION APPRENANTE : l’ ActeuR au coeur de la demarche de gestion des riSques

Continuons nos investigations sur les outils « hors contrôle » qui pourraient permettre aux RM français de mettre en place le « risk management intelligent» préconisé par Power (2004, 2007, 2009, 2016).

Je les développe dans l’ouvrage coécrit avec Nicolas Dufour. https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

Vous pouvez lire ou relire l’article du blog « Yves Rocher et les NeuroSciences » – Archives du blog Mai 2020 – ; l’article posté le 18 novembre relatif à L’ Organisation Apprenante, l’article posté le 24 novembre sur la nécessité elle aussi déjà proposé par Power d’émanciper les managers du déploiement d’informations sous la forme « d’outils formalisés, normés… » qu’il décrit comme une « addition de couches de pseudo confort donnant une illusion de confort. » (p.66 Aubry C., Dufour N., La Fonction Risk Manager)

Je vous propose aujourd’hui deux articles parus dans Harvard Business Review, écrits par deux chercheurs qui proposent de mettre l’acteur au cœur de la démarche : responsabilisation, confiance plutôt que contrôle, sanctions et méfiance de la DG.

Savoir augmenter la responsabilité sans susciter la méfiance

Il n’est jamais facile d’introduire un niveau accru de responsabilité dans une entreprise et bien trop souvent les personnes que vous souhaiteriez ainsi responsabiliser interprètent votre initiative comme une indication de votre manque de confiance en elles. C’est un problème que j’ai rencontré fréquemment après l’effondrement du bloc soviétique au sein des entreprises dans lesquelles le fonds de capital-investissement que je conseillais effectuait des placements.

Ceci me rappelle un exemple typique particulièrement frappant auquel j’ai été confronté avec l’équipe managériale d’un moulin de grande taille dont nous avions fait l’acquisition en Roumanie lors d’appels d’offres de privatisations. L’équipe s’était montrée méfiante dès le départ ; dans les anciens pays communistes les investisseurs occidentaux avaient la réputation de se débarrasser des managers en poste pour y installer les leurs.

Donc, bien que nous ayons laissé l’ancienne équipe managériale intacte, les responsables s’interrogeaient quant aux motifs sous-tendant tous les changements organisationnels que nous tentions de mettre en place. Ce fut cependant l’introduction du système des normes internationales d’audit employé par notre co-investisseur, le plus grand moulin grec, qui mis réellement le feu aux poudres.

Nous nous efforçâmes de convaincre le responsable du service comptabilité du moulin roumain que le marché boursier grec exigeait des entreprises membres qu’elles utilisent ce système, mais rien n’y fit. Il continua à soutenir que nous ne leur faisions pas confiance, à lui et à son équipe, et que ce système était juste notre manière de nous assurer que les gens du cru n’allaient pas nous escroquer.

L’ensemble de l’équipe managériale se sentait ainsi humiliée et blessée, ce qui commençait à avoir un sérieux impact sur le moral de tous. Quoi que nous fassions, il nous était tout simplement impossible de les convaincre que le système d’audit que nous souhaitions instaurer était identique à celui utilisé par le moulin grec et que cela n’avait donc rien à voir avec le fait que nous leur accordions notre confiance, ou non. Et comme m’avait alors dit un ami originaire du pays : « Plus tu essaieras de les convaincre avec des paroles, plus ils vont se méfier ».

Alors nous avons cessé les pourparlers et commencé à réfléchir et à agir. J’ai lancé le mouvement en partageant avec eux mon propre reporting mensuel concernant les performances du moulin, document destiné à l’équipe managériale du fonds de capital-investissement, en Grèce. Ils purent alors lire par eux-mêmes mon évaluation des perspectives et des problèmes ainsi que ce que je proposais pour avancer au mieux. Rien de ce qu’ils lurent n’était particulièrement surprenant mais ils étaient flattés que je partage un document aussi important avec eux. Plus important encore, cela leur donna le sentiment qu’on leur faisait confiance. Partant de cela, je me mis à leur demander conseil quant à la teneur du rapport, ce qu’ils interprétèrent, comme je l’espérais, comme un signe de respect de leur expérience.

Au bout de quatre mois, j’emmenai les trois plus hauts responsables du service comptabilité et finance au siège de notre partenaire, au Pirée, pour une visite d’une semaine. Sur place, ils purent constater par eux-mêmes que l’entreprise utilisait effectivement ce système pour ses propres moulins et que les auditeurs désignés par l’autorité grecque des marchés boursiers passaient en revue les résultats de tous les moulins. Nous avions en outre demandé aux managers du service financier du moulin grec de leur expliquer que la mise en œuvre d’un tel système comptable ne signifiait pas un manque de confiance à leur égard mais bien le contraire.

Cette visite permit non seulement à nos managers roumains de mieux comprendre la relation entre confiance et responsabilité, mais elle le convainquit également de notre sincérité. Ils apprécièrent l’accueil de leurs confrères grecs et la manière ouverte dont ils furent traités – sur un pied d’égalité. En outre, ils partirent emplis d’un nouveau respect pour le moulin de leur actionnaire principal, grand, moderne et bien géré, et commencèrent à se sentir fiers d’appartenir au même groupe. Ils étaient dorénavant convaincus que nous étions déterminés à maintenir l’équipe locale pour l’aider à devenir une partie intégrante d’un groupe plus conséquent.

Après notre retour, j’ai demandé à l’équipe locale de commencer à me soumettre des rapports similaires à ceux que j’établissais moi-même. Il leur fut un peu difficile, dans un premier temps, d’admettre ouvertement, à l’écrit, leurs omissions et leurs échecs ! Pour autant, ils se lancèrent et, avec le temps, commencèrent à reconnaître les avantages considérables qu’ils pouvaient tirer d’un tel suivi de leur propre productivité, à travers ces rapports. Ils apprirent en fait simplement qu’en se regardant dans le miroir afin de se voir tels qu’ils étaient réellement, ils comprendraient mieux ce dont ils avaient besoin afin de continuer à progresser.

Charalambos Vlachoutsicos

Les neurosciences de la confiance 

Les façons de manager qui encouragent l’engagement des salariés.

Les entreprises s’efforcent par tous les moyens de responsabiliser et de stimuler leurs employés. Elles sont angoissées par l’état déplorable de l’engagement et ce à juste titre, au vu de la valeur qu’elles perdent. En étudiant la méta-analyse de Gallup, basée sur des données accumulées pendant des décennies, on s’aperçoit qu’un engagement fort – c’est-à- dire avoir une bonne relation avec son travail et ses collègues, sentir que l’on apporte une véritable contribution et bénéficier de nombreuses opportunités d’apprentissage – mène constamment à des résultats positifs, à la fois pour les personnes et pour les organisations. Avec pour bénéfices une plus grande productivité, des produits de meilleure qualité et une rentabilité accrue.

Il est donc évident que cultiver un système axé sur les employés peut être bénéfique aux affaires. Mais comment faire cela efficacement ? Cette culture est généralement conçue autour d’opportunités comme des repas gastronomiques ou des soirées karaoké, souvent par soumission à une marotte de psychologue, de manière à répondre à des besoins spécifiques. Et malgré les preuves de l’impossibilité d’acheter une plus grande satisfaction liée à l’emploi, les entreprises passent tout de même des « menottes dorées » aux mains de leurs bons employés pour qu’ils restent. Alors que de tels efforts sont susceptibles de booster le bonheur sur le lieu de travail à court terme, ils ne parviennent pas à avoir un quelconque effet durable sur la performance ou sur la conservation des talents.

Dans mes recherches, j’ai découvert que c’est le développement d’une culture de la confiance qui fait la différence. Les employés des sociétés où le taux de confiance est élevé sont plus productifs, plus dynamiques au travail, collaborent mieux avec leurs collègues et restent plus longtemps avec leurs employeurs que les gens travaillant dans des sociétés dans lesquelles le niveau de confiance est bas. Ils souffrent moins de stress chronique et sont plus heureux dans leur vie. Ces facteurs alimentent une performance plus solide.

Les leaders comprennent les enjeux – du moins en principe. Dans son enquête mondiale réalisée auprès des P-DG en 2016, PwC a rendu compte du fait que 55% des P-DG pensent qu’un manque de confiance est une menace pour la croissance de leur entreprise. Mais la plupart font peu de choses pour accroître la confiance, principalement parce qu’ils ne savent pas vraiment par où commencer. Dans cet article, je fournis un cadre scientifique qui les aidera.

Il y a à peu près une décennie, dans un effort pour comprendre comment la culture organisationnelle affecte la performance, j’ai commencé à mesurer l’activité cérébrale des gens pendant qu’ils travaillaient. Les expériences en neurosciences que j’ai dirigées révèlent huit méthodes que les leaders peuvent mettre en place pour gérer efficacement une culture de la confiance. Je décrirai ces stratégies et expliquerai comment certaines organisations les utilisent à bon escient. Mais penchons-nous d’abord sur la recherche scientifique qui sous-tend le cadre général.

Ce qui se passe dans le cerveau

En 2001, j’ai trouvé une relation mathématique entre la confiance et la performance économique. Bien que mon article à propos de cette recherche décrivît les environnements sociaux, juridiques et économiques qui sont à l’origine des différences dans la confiance, je ne pouvais pas répondre à la question la plus élémentaire : pourquoi deux personnes se font-elles confiance de prime abord ? Des expériences menées dans le monde entier ont montré que les humains sont naturellement enclins à faire confiance aux autres – mais ne le font pas toujours. J’ai émis l’hypothèse qu’il devait y avoir un signal neurologique qui indiquait quand nous devions avoir confiance en quelqu’un. J’ai donc entamé un programme de recherche sur le long terme pour vérifier si cela était vrai.

Je savais que l’on avait mis en évidence chez les rongeurs une substance chimique appelée ocytocine qui leur signalait qu’ils pouvaient approcher un autre animal en toute sécurité. Je me suis demandé si c’était aussi le cas chez les humains. Personne n’avait fait de recherches à ce sujet, aussi ai-je décidé d’enquêter. Afin de mesurer objectivement la confiance et sa réciprocité (la fiabilité), mon équipe a utilisé une épreuve de décision stratégique développée par des chercheurs dans le laboratoire de Vernon Smith, lauréat du prix Nobel d’économie. Dans notre expérience, un participant choisit une somme d’argent à envoyer à un étranger via un ordinateur, sachant que le montant triplera et que le destinataire peut choisir de ne pas partager le butin. Là repose le conflit : le destinataire peut soit garder l’argent, soit se montrer fiable et le partager avec l’expéditeur.

Pour mesurer les niveaux d’ocytocine durant l’échange, mes collègues et moi avons mis au point un protocole pour faire une prise de sang aux participants avant et immédiatement après qu’ils aient pris la décision de se fier aux autres (s’ils étaient expéditeurs) ou de se montrer dignes de confiance (s’ils étaient destinataires). Parce que nous ne voulions pas influencer leur comportement, nous n’avons pas parlé du sujet de l’étude aux participants, même s’il n’y avait aucun moyen qu’ils puissent consciemment contrôler l’ocytocine qu’ils produisaient. Nous avons constaté que plus les gens recevaient d’argent (signifiant une plus grande confiance de la part des expéditeurs), plus leur cerveau produisait d’ocytocine. Et la quantité d’ocytocine que les destinataires produisaient prédisait à quel point ils seraient fiables – c’est-à-dire à quel point ils seraient enclins à partager l’argent.

Puisque le cerveau génère des messagers chimiques en permanence, il était possible que nous ayons simplement observé des changements aléatoires de taux d’ocytocine. Pour prouver que l’ocytocine était la cause de la confiance, nous en avons prudemment administré des doses synthétiques dans des cerveaux humains vivants (au moyen d’un spray nasal). En comparant les participants qui avaient reçu une vraie dose avec ceux qui avaient reçu un placebo, nous avons découvert que donner aux gens 24 UI d’ocytocine synthétique faisait plus que doubler la somme d’argent qu’ils envoyaient à un inconnu. En utilisant une variété de tests psychologiques, nous avons montré que ceux qui recevaient de l’ocytocine restaient cognitivement intacts. Nous avons également constaté qu’ils ne prenaient pas de risques excessifs dans des jeux d’argent (Iowa Gambling Task), donc l’augmentation de confiance n’était pas due à une désinhibition neurale. L’ocytocine ne paraissait faire qu’une seule chose – réduire la peur de se fier à un inconnu.

Paul J. Zak

Gestion des Riques et Outils de l’organisation Apprenante

Quelles en sont les grandes lignes et les outils pour que les RM français mettent en place le « risk management intelligent» préconisé par Power (2004, 2007, 2009, 2016) ?

Je les développe dans l’ouvrage coécrit avec Nicolas Dufour. https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

Je vous propose dans les articles suivants des pistes de réflexion pouvant s’appliquer à la gestion des risques. Vous pouvez lire ou relire l’article du blog « Yves Rocher et les NeuroSciences ». Archives du blog Mai 2020.

Vous pouvez lire ou relire l’article posté le 18 novembre relatif à L’Organisation Apprenante.

Je vous propose aujourd’hui un article sur la nécessité elle aussi déjà proposée par Power d’émanciper les managers du déploiement d’informations sous la forme « d’outils formalisés, normés… » qu’il décrit comme une « addition de couches de pseudo confort donnant une illusion de confort. » (p.66 Aubry C., Dufour N., La Fonction Risk Manager)

Emancipons les managers de la machine à reporting !

Tout change – sauf la manière de manager ?

Le monde change…  L’entreprise change… Les expressions « innovation permanente», « agilité organisationnelle» ou « adaptation à un monde globalisé » sont partout présentes. Mais si on parle volontiers des transformations des structures, de l’environnement ou des technologies, les discours sont moins clairs pour ce qui concerne l’évolution du travail des managers. Pourtant, n’est-il pas en train de changer radicalement lui aussi et même plus radicalement que tout le reste ? Car on ne pourra gérer l’entreprise de demain avec des outils supposés innovants, en s’appuyant sur la même façon de définir le rôle et le fonctionnement du management. Selon l’expression des théoriciens de l’Ecole de Palo Alto, on ferait alors « plus de la même chose » : plus de leadership, plus de contrôle, plus de performance, plus de normes ou plus de système d’information… et on compliquerait la gestion sans vraiment la transformer. Comme le notait Paul Watzlawick, le problème serait justement accru par la solution (P. Watzlawick, J. Weakland et R. Fish, Changements : paradoxes et psychothérapie, le Seuil, 1981). Or le problème aujourd’hui, c’est l’immobilisme dans la façon de manager dans un monde qui bouge. Et la solution, c’est le nouveau management qui la trouvera.

Bouleversements dans la création de valeur

Une telle situation n’est pas nouvelle. Déjà, lors des grandes crises économiques précédentes dans les années 1930 ou 1970, c’est le travail des managers qui, en se transformant, a permis la mutation des entreprises. Dans l’entre-deux-guerres, on a assisté à l’émergence du fordisme grâce à l’apparition d’un management qui savait gérer la production de masse. A partir des années 1970, sont apparues des organisations globales permises par un management à partir d’outils de gestion normalisés et, notamment, par la montée en puissance des financiers. Avec la crise des années 2010, nous sommes entrés dans une nouvelle période de transformation des entreprises due à leur définanciarisation : le contrôle systématique et la régulation centralisée des structures matricielles à partir de normes financières sont devenus beaucoup trop coûteux et trop imprécis pour être soutenables. Les systèmes de gestion informatisés représentaient 25% de l’investissement productif français à la fin des années 2000,  ce qui signifie que le quart de l’investissement ne créait pas d’autre valeur que de… contrôler la création de valeur. Les organisations doivent inventer des outils adaptées à des formes organisationnelles plus légères, plus souples.

Le travail humain, quelle que soit la fonction exercée, doit être considéré, non plus comme une ressource parmi d’autres, mais comme la clé de la création de valeur à partir de laquelle se détermine l’investissement. Parallèlement, des technologies issues du web et, bientôt de l’impression 3D obligent à reconcevoir l’organisation des chaînes de valeur d’industries entières, notamment en faveur de productions décentralisées, en très petites séries mais à forte valeur ajoutée locale. Enfin, dans un monde à la fois globalisé et fractionné, on demande à l’entreprise d’être non plus un simple producteur de biens et services, mais aussi une institution qui assure davantage de fonctions sociales et politiques qu’elle seule peut désormais fournir à la société, comme, par exemple, des services de formation voire d’éducation, de gestion des ressources, de sécurisation de l’information ou de régulation de la vie sociale, familiale et personnelle. Continuer de gérer de manière anonyme ou globale par écrans et ratios de gestion interposés, c’est un peu comme regarder la vie à la télé… Le manager doit sortir de son bureau, aller sur le terrain et organiser les activités en proximité avec les équipes. Sans quoi il risque d’apparaître rapidement aussi obsolète qu’un Minitel. Ce nouveau management nécessitera évidemment de vaincre des routines, des résistances… et aussi des impatiences.

Des managers concernés

Car je constate que ces transformations sont aussi attendues par beaucoup de managers, et à tous les niveaux hiérarchiques. D’abord parce que leur travail s’est particulièrement dégradé ces dernières années, qu’il atteint parfois une sorte de limite dans l’absurde. François-Régis Puyo, aujourd’hui chercheur à Audencia, a montré dans sa thèse que plus du tiers du temps de travail d’un cadre consiste à remplir ou discuter des reportings. Or, seules 10% des informations transmises sont utilisées. La crise du sens frappe, sans doute plus que les autres salariés, les managers qui sont à la fois les acteurs et les victimes d’un vaste système de contrôle aussi coûteux que vain. Si on parle de « souffrance au travail », il ne faut pas négliger qu’elle concerne nombre de gestionnaires, y compris au plus haut niveau, qui ont l’impression de travailler dans une absence grandissante d’intérêt pour ce qu’ils font. Pas étonnant que l’on constate une aspiration à s’émanciper de la machine à reporting, pour retrouver la valeur du travail d’encadrement, le développement des compétences et l’encouragement des hommes qui est, pour beaucoup, au cœur de leur vocation de manager.

Ensuite, l’Histoire avance et les entreprises les plus performantes se transforment déjà. Elles remettent en question la lourdeur des matrices organisationnelles et des systèmes de contrôle devenus aveugles à la « vraie vie » des entreprises. Elles introduisent davantage de décentralisation, de souplesse hiérarchique, et de subsidiarité dans leur fonctionnement. PME dynamiques ou grandes entreprises globales, ces entreprises, prennent au sérieux la création de valeur à partir du travail réel de leurs salariés et parfois d’autres parties prenantes comme les clients. Elles innovent vraiment en définissant le management comme un service au plus près de ce travail. En régénérant leur modèle, elles deviennent redoutablement performantes.

par Pierre-Yves Gomez

Economiste, docteur en gestion, directeur de l’Institut français de gouvernement des entreprises à l’EM Lyon. Il a été professeur et chercheur invité à la London Business School. Spécialiste des questions de gouvernance, il  a été à l’origine du code gouvernance des entreprises françaises cotées et directeur de la Société française de management.


Pour une approche globale technique et socio-cognitive de la demarche de gestion des risques. les outils de l’organisation Apprenante

Dans l’article de recherche sur lequel je travaille actuellement j’écris :

« Préférer une logique de soutien à la logique de contrôle qui prévaut à la mise en place de la gestion des risques transformerait la Fonction Risk Manager en instrument de légitimité cognitive. L’accès des RM au terrain serait facilité ; les obstacles associés à la logique de contrôle (manque de communication interne en direction des opérationnels, méfiance vis-à-vis des opérationnels, manque de motivation, de disponibilité et inertie des opérationnels, poids de la sanction venant de la direction) seraient allégés. Cette première dynamique passe par la mise en place d’une approche globale technique et socio-cognitive (Chautru, 2008 ; Aubry et Montalan, 2007). »

Cette idée m’est chère. Elle ressort des entretiens que j’ai pu mener avec des RM. Elle rejoint la mise en place du « risk management intelligent» préconisés par Power (2004, 2007, 2009, 2016) pour que le CRO passe d’un profil de contrôleur à celui de « champion du risque », trajectoire qui constitue un bon indicateur pour la FRM française[1]

Je les développe dans l’ouvrage coécrit avec Nicolas Dufour. https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

Quelles en sont les grandes lignes et les outils ?

  • Orientation de la démarche vers les acteurs de l’entreprise et participation des opérationnels à l’analyse des risques (à l’élaboration des cartographies) via une implication active, l’adoption d’un mode de gestion top-down, le développement d’une communication et d’une information sur les risques.
  • Déploiement d’outils de gestion des connaissances, tels que l’apprentissage, l’analyse rétrospective d’accidents et d’erreurs, le retour d’expérience.
  • Traitement de la question de la sanction.
  • Un prochain travail de recherche proposera un cadre théorique d’analyse de cette approche technique et socio-cognitive et de ses outils, nous permettant d’interroger les RM sur les outils qu’ils ont mis en place ou pourraient mettre en place.

En attendant je vais vous proposer dans les semaines à venir quelques lectures en lien avec cette problématique.

  • Vous pouvez relire l’article du blog « Yves Rocher et les NeuroSciences ». Archives du blog Mai 2020
  • Vous pouvez lire ci-dessous un article relatif à L’Organisation Apprenante. Il propose des pistes de réflexion pouvant s’appliquer à la gestion des risques.

Comment devenir une organisation apprenante

Le 08/07/2020

C’est bénéfique pour le collaborateur et pour l’entreprise.

Dans un monde où le rythme des changements et l’obsolescence des compétences s’accélèrent, où la révolution technologique fait émerger des enjeux inédits de « upskilling-reskilling », où l’évolution des marchés – et des évènements comme la crise sanitaire – imposent une adaptation permanente, progresser en tant que « learning company » est plus que jamais un avantage distinctif. A partir de pratiques recueillies auprès de plus de 50 grands groupes et startups à forte croissance, ainsi que de travaux de recherche, voici un cadre de réflexion et d’action pour ancrer des dynamiques apprenantes dans sept moments clés de l’expérience collaborateur.

1- Intégration

C’est une étape décisive pour accroître la rétention des salariés, en impulsant un rythme d’apprentissage sur plusieurs mois (débutant même avant le premier jour). L’objectif est de :

– faciliter une appropriation de la vision et du métier : « welcome pack » apprenant (livres ou objets suscitant une réflexion en lien avec les valeurs de l’entreprise, par exemple) ou atelier pour s’entraîner à présenter en quelques mots son entreprise. C’est le cas dans la startup ContentSquare, où chaque salarié reçoit une certification liée à l’utilisation de la solution de l’entreprise, à l’issue de ses deux jours d’onboarding.

– susciter, dès le début, une culture du partage et du mentoring, grâce à un accompagnement par un ou plusieurs parrains/marraines, comme chez Buffer (spécialisé dans la publication et l’analyse des campagnes sur les réseaux sociaux), qui abordent avec les nouveaux venus des sujets tels que la culture d’entreprise, l’expertise métier et le management.

– inciter à réfléchir sur soi et son développement professionnel, en intégrant un test de personnalité, un « livret de développement » ou encore des questions réflexives sur sa capacité à apprendre, à partager et à grandir dans l’organisation, comme le fait dès l’entretien de recrutement l’organisme de formation Numa.

2- Les formations internes

Au-delà des programmes formels et des ressources digitales mises à disposition, il est important de créer les conditions pour autoriser, voire sanctuariser, des « espaces-temps » d’apprentissage. Pour cela, il faut instaurer des :

– rituels courts et périodiques, du type « breakfast/lunch & learn », y compris virtuels : des moments d’inspiration avec des intervenants internes ou externes qui partagent leurs « bonnes » pratiques, ou encore des « ateliers philosophiques » sur des thèmes comme l’intelligence collective, comme chez L’Oréal, à destination de la communauté RH ;

– « learning days », organisés dans différents pays et ouverts à tous, combinant des moments d’inspiration en lien avec la stratégie business ou RH, des formations souvent animées en interne, des échanges entre les participants, le tout autour d’une thématique spécifique – comme « we love learning » chez Natixis ;

– événements combinant apprentissage et intelligence collective, comme un hackathon biannuel où les collaborateurs sont invités à imaginer, en équipes pluridisciplinaires et internationales, des réponses à des problématiques business ou sociétales, comme le fait la licorne irlandaise Stripe, la nouvelle plateforme de paiements en ligne.

3- L’auto-apprentissage

L’enjeu est aussi de créer les conditions de responsabilisation des collaborateurs dans leur développement, en écho avec la notion de « maîtrise personnelle », proposée par Peter Senge (directeur du « Center for Organizational Learning », au MIT, et auteur du livre de référence sur l’organisation apprenante « The Fifth Discipline »), pour engager les salariés dans une dynamique permanente d’auto-apprentissage. Cela nécessite en particulier de :

– favoriser la connaissance de soi par des outils et des exercices d’introspection, et proposer des formations pour « apprendre à apprendre » ;

– diffuser régulièrement des offres de formation qui soient personnalisées, en fonction du profil et des intérêts de chacun, en utilisant comme le fait Google des « people analytics » ;

– offrir des « journées de développement », sous forme de « menu » (participation à des conférences ou à des salons, mécénat de compétences), ou encore des « cool days », comme le propose une fois par mois à ses collaborateurs la startup Comet.

– multiplier les approches d’accompagnement individuel : « coaching bar » le vendredi matin, « speed-coaching » avec des coachs externes disponibles par visioconférence, ou encore mise à disposition de coachs internes, comme chez le nouvel assureur santé Alan.

4- L’apprentissage social

L’apprentissage est social par nature : chacun peut être apprenant et formateur auprès de pairs, et cette forme d’apprentissage contribue, deux fois plus que la formation traditionnelle en salle, à l’acquisition de nouvelles compétences et expertises. Comment l’encourager encore davantage ? Il faut pour cela :

– déployer des dispositifs de formation de « peer to peer » et de mentoring à grande échelle pour accélérer le partage de compétences métiers et/ou comportementales entre pairs, comme le fait Air France sur sa communauté de managers ; ou mettre en place des réseaux d’échanges métiers permettant de trouver rapidement la solution à un problème rencontré, comme chez Generali ;

– mettre en place des groupes de co-développement, en présentiel ou à distance, internalisés mais aussi inter-entreprises sur des thématiques ou populations ciblées du type business developers ou responsables marketing, comme le fait la startup iAdvize.

– susciter le partage post formation, comme le propose le « Gandalf Scholarship » de DBSBank, grâce auquel tout collaborateur peut recevoir 1000 dollars pour une formation professionnelle de son choix, à condition de partager ses enseignements à minimum dix personnes.

5- Les modes de travail

Selon une étude récente de France Stratégie (« Les organisations du travail apprenantes : enjeux et défis pour la France », avril 2020), les organisations du travail qui sont réellement apprenantes, notamment en milieu industriel, se caractérisent par trois critères : l’autonomie des collaborateurs, la polyvalence et la résolution de problèmes en équipes. Les départements formation peuvent équiper les managers et leurs équipes pour favoriser de telles pratiques, en mettant en place notamment :

– des rituels d’apprentissages en équipe : temps d’inclusion au début des réunions (comme la « météo personnelle », particulièrement utile en situation de crise), valorisation des efforts (« qu’est-ce qui vous a rendu fiers ce mois-ci ? »), points réguliers sur le fonctionnement d’équipe (présence, place aux questions et émotions,…), sans oublier les « retours d’experience » pour apprendre des succès et des échecs, comme le rituel « Fail, learn, succeed » de Blablacar ;

– des modes de travail propices à l’intelligence collective et à l’innovation, des outils de collaboration, des environnements propices tels que les « creativity rooms », dédiées à l’innovation, ou les murs en « velleda » pour les brainstormings et le management visuel, comme le fait Qonto, la néobanque des entreprises et des indépendants.

6- Le rôle du management

Le rôle du manager d’équipe est clé en matière d’apprentissage individuel et collectif. A condition que ce rôle soit clair, et soutenu par des formations et des outils pour :

– accompagner le développement des collaborateurs : se mettre dans la posture de « manager coach », développée notamment chez Criteo, et intégrer des « boucles d’apprentissage » dans les points réguliers avec les équipes en utilisant, par exemple, la règle du « 5/0/5 » (de Charles Jennings, co-fondateur du « 70 :20 :10 Institute ») : prendre cinq minutes avant une formation d’un collaborateur pour échanger sur son besoin, zéro minute pendant sa formation, et à nouveau cinq minutes après pour décider de la mise en oeuvre des apprentissages reçus ;

– aider à se projeter sur le moyen terme : « conversations de développement », comme chez Danone, pour amener chaque collaborateur à révéler ses talents – avec un guide introspectif -, réfléchir à son projet professionnel et bâtir un plan de développement ;

– instaurer des « moments d’apprentissage » réguliers : au sein d’une équipe (tous les trimestres, par exemple, chez Leroy Merlin), afin d’apprendre ensemble sur une nouvelle thématique ou de réaliser un partage d’expérience ; ou plus largement, des rituels d’entreprise, comme « DEAL – Drop Everything And Learn » chez le spécialiste de la formation en ligne Udemy.

 7- La mobilité interne et externe

L’évolution de carrière et l’expérience opérationnelle sont parmi les plus importantes sources d’apprentissage. Comment multiplier les occasions ? Grâce notamment à :

– des programmes d’immersion en externe (startups, associations…) ou en interne, comme « l’Open Talent Market » mis en place par Schneider Electric, qui vise à créer des liens entre les souhaits de développement des collaborateurs et les opportunités de vivre une nouvelle expérience, au sein de l’entreprise : missions à temps partiel ou à temps complet, contribution à un projet, rôle de formateur ;

– des entretiens approfondis lors des départs, afin de clôturer positivement la collaboration et améliorer, grâce aux feedbacks, l’expérience collaborateur – et ainsi la marque employeur – comme chez ManoMano, le leader du bricolage en ligne, où tous les départs sont célébrés ;

– l’animation d’un réseau d’anciens, permettant aux alumni de continuer à se développer en s’appuyant sur cette communauté, et à l’entreprise de bénéficier d’un réseau d’ambassadeurs, voire de formateurs expérimentés, à l’image de McKinsey qui fédère un réseau de 34 000 alumni à travers le monde.

Si la question « pourquoi devenir une organisation apprenante ? » est du ressort de chaque entreprise, celle du « comment » fait appel à plusieurs dimensions, qui sont, elles récurrentes : la vision (source de motivation intrinsèque pour les individus et les équipes), la culture (pour instaurer un « growth mindset »), les politiques de formation bien sûr, et enfin l’organisation et le management, une dimension bien souvent trop peu exploitée et pourtant clé dans les dynamiques d’apprentissage.

Par Thierry BonettoMorgan Baivier de Fortis


[1] La fonction est ancienne et les acteurs sont déjà structurés ; créée par General Electric en 1993, elle est présente dans la majorité des grandes entreprises (dans tous les secteurs) ; elle est promue par trois associations professionnelles (International Federation of Risk and Insurance Management Association (IFRIMA), Public Risk Management Association (PRIMA), Risk and Insurance Management Society (RIMS)) qui assurent sa diffusion en déployant leurs actions dans trente pays, proposant des formations qualifiantes et assurant des certifications de compétences identifiées et reconnues par les entreprises. Elle fait l’objet d’une littérature abondante.

Risques de corruption. Dispositifs anti-corruption : des progrès à faire

Dans les archives mensuelles (situées tout en bas à gauche de la page) ou en recherchant « Risque de corruption » retrouver et relire :

  1. Loi Sapin : rôle du régulateur-législateur et résumé de la loi / article « Trois ans après, où en sont les entreprises ? » ; Archives octobre 2020
  2. Cartographies de risques de corruption ; Archives juillet 2020

Aujourd’hui après la présentation de la loi, le bilan à N+3 et la présentation de l’outil de gestion des risques, je vous propose un article sur les progrès dans la mise en place des plans d’actions anti-corruption.

Dispositifs anti-corruption : des progrès à faire

Grant Thornton a publié début octobre la 3e édition de son baromètre sur les dispositifs anti-corruption des entreprises. Axé cette année sur la maturité, il constate des progrès dans tous les domaines mais pointe également de nombreux retards.

Près de 4 ans après l’instauration de la loi Sapin 2, où en sont les entreprises en termes de dispositifs anti-corruption ? C’est la question à laquelle le Baromètre de Grant Thornton consacré au sujet essaie de répondre, pour la troisième année consécutive. « Le constat général est qu’il y a des progrès dans tous les domaines même si c’est parfois un peu poussif », résume Nicolas Guillaume, Business Risk Services & Forensic Lead Associé chez Grant Thornton qui a supervisé la réalisation de ce baromètre. Il reconnaît cependant que le baromètre Grant Thornton est exigeant puisque pour être jugé conforme en termes de dispositif anti-corruption, il faut être conforme à tout.

Difficile évaluation des tiers

Et force est de constater que peu d’entreprises sont en conformité : 90% des entreprises sont  » non conformes « . Ce chiffre est certes un mieux par rapport à 2019 (seules 6% des entreprises étaient alors conformes) mais il y a encore de nets progrès à faire, notamment dans le domaine de l’évaluation des tiers : seules 19% d’entités sont conformes. « C’est opérationnellement très lourd de passer au peigne fin toute sa chaîne, d’autant plus quand le business est très éclaté, avec beaucoup de transactions », analyse Nicolas Guillaume.

Deux autres thèmes progressent doucement : le dispositif de suivi (44% d’entités conformes) et les contrôles comptables (46%). « Sur les contrôles comptables, les entreprises rencontrent des difficultés à identifier quels sont les points spécifiques à relever et comment s’organiser pour le faire. Quant au dispositif de suivi, ce n’est pas étonnant qu’il ne soit pas avancé : il faut d’abord progresser sur les autres sujets », explique Nicolas Guillaume.

Doublement de la maturité sur la cartographie des risques

Le Baromètre note par contre de gros progrès en matière de cartographie des risques : nous avons presque constaté un doublement de la maturité, les entreprises conformes étant passées de 40% en 2018 à 71% aujourd’hui », rapporte

L’associé Grant Thornton souligne également que si la proportion d’entités totalement conformes évolue lentement (10% contre 6 % précédemment), le taux de conformité moyen progresse quant à lui fortement, passant de de 57 % à 79 %.

Prévention des risques

Les progrès sont là mais les entreprises doivent mieux faire, ne serait-ce que pour éviter de se faire rattraper par le régulateur sur les questions d’anti-corruption. « Il y a également un aspect de responsabilité sociétale : les entreprises ont tout intérêt à utiliser leurs ressources dans d’autres sujets qu’en faveur d’intermédiaires véreux », souligne Nicolas Guillaume. Il insiste aussi sur la notion de risque : « Un dispositif efficace peut permettre d’éviter de se faire piéger par des gens peu scrupuleux et de protéger son activité ».

C’est pourquoi la cartographie des risques est si importante : cela permet de prendre conscience de la nécessité d’agir sur certains sujets dans l’intérêt de son entreprise. « Les entreprises débutent leurs travaux pour des raisons réglementaires mais quand les dirigeants se rendent compte en avançant que des collaborateurs se sont retrouvés dans des situations compliquées le sujet devient moins technocratique et les intéresse davantage », observe Nicolas Guillaume.

L’associé Grant Thornton rapporte par ailleurs que le panel du Baromètre est constitué d’entités non soumises aux exigences de la loi Sapin 2 mais qui ont décidé volontairement d’engager les démarches pour satisfaire aux exigences. « Ces entités évoluant majoritairement à l’international et ayant des clients soumis à Sapin 2 ont perçu l’enjeu commercial de se positionner comme un partenaire compliant« , pense Nicolas Guillaume.

Identifier les enjeux

Nicolas Guillaume reconnaît cependant la complexité de certains sujets de la loi Sapin 2. « L’Agence française anticorruption (AFA) est en train de mettre à jour certaines de ses recommandations : elles seront plus explicites pour les entreprises », indique Nicolas Guillaume. Il entrevoit un autre problème à la mise en place des dispositifs anti-corruption dans les entreprises : le manque de temps et de ressources. « Dans la période actuelle, les entreprises ont de plus d’autres préoccupations ».

Il conseille de débuter par une cartographie des risques établie avec sérieux afin d’identifier les sujets à enjeux pour l’entreprise. « Cela permet de ne pas adopter une approche monolythique : il s’agit non pas de faire tous les tiers ni tous les contrôles comptables à la fois mais de se concentrer sur les vraies zones d’enjeux », recommande-t-il.

Nicolas Guillaume insiste aussi sur la culture d’entreprise: « Les procédures sont importantes mais ce qui compte c’est la façon dont se comportent les collaborateurs face à une situation compliquée : il s’agit d’éduquer les gens, de leur faire prendre conscience de ces problématiques afin qu’ils acquièrent les bons réflexes ». Les dispositifs anti-corruption comprennent donc un volet management et formation.

Eve Mennesson. 2 nov. 2020