éthique-gouvernance, médias et amplification du risque, réglementation et amplification du risque, RISQUES

DE TROP NOMBREUSES « AFFAIRES DEVRAIENT CONDUIRE NESTLE A S’INTERESSER A SA GESTION DU RISQUE ETHIQUE » (3). DERNIER REBONDISSEMENT : QUELLE AMPLIFICATION DU RISQUE POUR NESTLE ?

Un commentaire

La dernière « affaire » Nestlé, dite des eaux minérales a été l’occasion dans ma tribune publiée dans Le Monde le 14 octobre 2024 et partagée sur mon blog puis dans des contenus publiés sur mon blog de :

Ces quatre profils de FRM invisible, néo-institutionnelle, Business Partner et leurs rôles sont le résultat de mon travail de recherche ; ils sont à retrouver dans mon dernier article de recherche.

Revenir aujourd’hui dans ce dernier opus sur le concept d’amplification des risques que les derniers rebondissements de « l’affaire » font revenir en force (Opus 3) :

  • Qu’est-ce que l’amplification des risques ? 
  • Quels sont les deux principaux amplificateurs de risque ? 
  • Du dysfonctionnement du régulateur-législateur comme amplificateur de risque à un possible retour en force de celui-ci et au renchérissement induit de l’impact du risque éthique pour le groupe ?

Qu’est-ce que l’amplification des risques ? 

Le concept d’amplification sociale du risque (Kaperson et al.,1988) suggère que les risques sont amplifiés et instrumentalisés par des institutions telles que le régulateur-législateur et les médias. (Pidgeon et al, 2003). La manière dont les évènements sont perçus, classifiés, dramatisés, rendus visibles par ces institutions détermine leur importance dans les agendas de la gestion des risques.

Quels sont les deux principaux amplificateurs de risque ? 

Le rôle du régulateur-législateur a commencé en France avec la Loi de Sécurité Financière. Sur fond de scandales et de crise, les interventions du régulateur-législateur ont amené les entreprises à renforcer les systèmes de contrôle interne et de gestion des risques : loi du 3 juillet 2008, ordonnance du 8 décembre 2008 ; rapport du 8 décembre 2009 de l’AMF ; loi Sapin II du 9 décembre 2016…jusqu’aux récentes directives européennes concernant l’environnement, NRFD et CRSD par exemple.

Les couches du millefeuille n’ont cessé de « s’épaissir » : bloc constitutionnel, bloc conventionnel, bloc législatif, principes généraux du droit, bloc réglementaire.

Le contenu plus ou moins structurant des mesures prises par le régulateur-législateur est bien souvent à l’origine des logiques de sur-réaction ou de sous-réaction des entreprises.

Cet amplificateur de risques est détaillé p.53 à 65 de notre ouvrage disponible en version numérique sur le site de l’éditeur ; en version papier sur commande dans toutes les librairies ou sur le site de la FNAC, Amazon… « Risk Management. Organisation et positionnement de la Fonction Risk Manager. Méthodes et Gestion des risques. » Editions Gereso. 293 pages, 18,99 à 27 euros.

Les médias (« traditionnels », réseaux sociaux, alternatifs) jouent un rôle essentiel dans la diffusion d’informations et la propagation d’attitudes. Les contenus diffusés ont une influence déterminante sur l’opinion publique et son comportement. Les médias tendent à amplifier la notion de responsabilité du dirigeant en cas de négligence (au regard du principe de précaution / bloc constitutionnel) et les logiques de compensation.

Cet amplificateur de risques est détaillé p.65 à 72 de notre ouvrage (lien ci-dessus).

Du dysfonctionnement du régulateur-législateur comme amplificateur de risque à un possible retour en force de celui-ci et au renchérissement induit de l’impact du risque éthique pour le groupe ?

Comme je l’ai écrit dans la tribune du Monde : « Tous les amplificateurs de risque étaient présents : intervention du régulateur européen, fort écho dans les médias traditionnels et les réseaux sociaux, saisie des associations de consommateurs. Mais l’absence de préjudice avéré à la santé publique, la prudence du gouvernement soucieux de préserver deux mille emplois et embarrassé par les négociations menées il y a trois ans avec le groupe autour d’un plan d’actions sous contrôle des autorités sanitaires, une gestion de crise meilleure (aveu et mea-culpa des dirigeants) que lors du scandale Buitoni lui ont permis d’éviter une catastrophe économique, un scandale et de lourdes sanctions. Mais le groupe n’aura peut-être pas la même chance avec la mise en examen en juillet de Nestlé France et de sa filiale fabriquant les pizzas Buitoni contaminées. »

La commission d’enquête lancée par le Sénat le 6 novembre 2024 et relayée par les médias remet le régulateur-législateur au centre de « l’affaire » et relance la question du renchérissement du coût et donc de l’impact de celle-ci sur le groupe Nestlé.

L’article ci-dessous détaille ce nouveau rebondissement et met en évidence les deux amplificateurs.

A suivre.  

Le Sénat lance une commission d’enquête sur le scandale des eaux de Nestlé

La Chambre haute a validé mercredi soir la création d’une commission d’enquête sur « les pratiques des industriels de l’eau embouteillée » et « les défaillances administratives et gouvernementales dans le contrôle des autorités publiques en la matière ». L’affaire va « au-delà de tout ce qui avait été imaginé », selon les sénateurs.

Le Sénat juge nécessaire de « confronter publiquement Nestlé Waters et tous les autres industriels en cause ».

Nouveau rebondissement dans l’affaire du scandale des eaux en bouteille de Nestlé. « Cela va au-delà de tout ce qu’on avait imaginé. On parle désormais de contamination après traitement. On doit faire le point sur l’ensemble des risques liés à l’utilisation massive de techniques prohibées », déclare le Sénat dans un communiqué.

C’est pourquoi la chambre a décidé dans la soirée du 6 novembre de créer une commission d’enquête sur le sujet. Elle « fait suite à l’utilisation du droit de tirage du groupe socialiste, écologiste et républicain, décidée dans le sillage des enquêtes journalistiques de Mediacités, Radio France, ‘Le Monde’ et Mediapart, ainsi qu’à l’impulsion du sénateur de l’Oise, Alexandre Ouizille, et de ses collègues », indique le Sénat. Alexandre Ouizille sera le rapporteur de la commission d’enquête.

Pour ce dernier, l’intérêt de la commission d’enquête ne cesse de se renforcer. « On pensait n’avoir affaire qu’à une tromperie commerciale, mais non. C’est l’hydre de Lerne. Chaque révélation fait surgir une nouvelle tête : une dimension sanitaire d’ampleur s’affirme ainsi qu’une menace écologique d’ampleur pour la ressource. »

Le Sénat juge nécessaire de « confronter publiquement Nestlé Waters et tous les autres industriels en cause ». En effet, « une autre dimension économique s’affirme de plus en plus : celle des risques sanitaires, économiques, écologiques et administratifs liés à l’exploitation de l’eau embouteillée en France ». Pour le sénateur Ouizille, « la révélation de présence d’arsenic dans les eaux minérales naturelles de Nestlé Waters à des niveaux de concentration non réglementaires change tout ».

Quatre missions

Dans ces conditions, le Sénat fixe quatre missions à la commission d’enquête. Elle devra examiner l’ensemble des risques, surtout sanitaires, économiques et écologiques, liés aux techniques interdites utilisées par les industriels de l’eau en France.

Ensuite, elle examinera avec soin la connaissance qu’avaient les membres du gouvernement de ces pratiques et les réponses entreprises à la suite du rapport de l’Inspection générale des affaires sociales de juillet 2022 et des rapports des agences régionales de santé (ARS), de la DGCCRF, de l’Anses et d’autres services d’exploitation de l’eau en bouteille en France.

 « Les ministres Pannier-Runacher, Véran et Borne doivent rendre des comptes publiquement devant le Parlement et devant les Français. C’est bien beau de demander des rapports, mais si c’est pour les enterrer dans la foulée, cela pose des questions sérieuses », dit encore le Sénat.

La commission d’enquête s’interrogera aussi sur les ordres donnés aux agences de contrôle, la disparité d’action des ARS, selon la localisation des sources. Ainsi que sur l’absence de sanctions malgré les alertes de la DGCCRF. Elle se penchera enfin sur « l’accaparement des sources par des acteurs industriels et les impacts potentiels de cette exploitation sur la durabilité de la ressource ».

Marie-Josée Cougard

Publié le 7 nov. 2024

Actualités Recherche, GESTION DES RISQUES, RISQUES

MON ACTUALITE RECHERCHE ET ENSEIGNEMENT

Laisser un commentaire

Le risque, la gestion des risques et plus spécifiquement l’émergence, l’identification et le(s) rôle(s) de la Fonction Risk Manager sont mon thème de recherche au sein du Laboratoire de Gestion et des Transitions Organisationnelles et une des matières que j’enseigne à l’Université Toulouse III Paul Sabatier.
🙏 Merci à mon collègue Constant Djama de m’avoir permis d’élargir mon auditoire en intervenant cette année encore sur les sujets du risque et de la gestion des risques auprès des étudiants en M2 Parcours Droit et Gestion des Entreprises de la Toulouse School of Management (Université Toulouse I Capitole). J’ai passé six heures très agréables avec eux.
J’espère que cette sensibilisation :
👍 les a intéressés
📚 leur a apporté du contenu
🏃‍♂️ leur a ouvert de nouvelles perspectives. Les complémentarités droit et gestion des risques sont en effet nombreuses et les doubles profils pertinents.

activité du rm, élargissement du domaine du risque, éthique-gouvernance, les "affaires", place dans l'organisation, RISK MANAGER-FONCTION RISK MANAGER, RISQUES

DE TROP NOMBREUSES « AFFAIRES DEVRAIENT CONDUIRE NESTLE A S’INTERESSER A SA GESTION DU RISQUE ETHIQUE » (2)

Un commentaire

Pour faire suite à la publication de ma Tribune dans Le Monde lundi 14 octobre 2024, quelques lectures pour en savoir plus :

  1. Un article sur Buitoni sur le blog
  2. Trois articles des Echos détaillant les faits de « l’affaire » des eaux minérales / ci-dessous.

Ces articles permettent de mieux comprendre la criticité (probabilité x impact) du risque éthique dans sa double dimension Développement Durable et Gouvernance au sein du groupe.

Perrier, Contrex, Vittel… La « qualité sanitaire » des eaux minérales Nestlé n’est pas garantie

Une note transmise au gouvernement par l’Agence nationale de sécurité sanitaire de l’alimentation confirme une contamination généralisée des sources d’eau minérale naturelle du groupe suisse en France. Ce dernier a eu recours à des traitements de purification interdits.

Une expertise menée par l’Agence nationale de sécurité sanitaire de l’alimentation (Anses) sur les eaux du groupe Nestlé fait état d’une contamination des sources exploitées.

Nouvelle révélation dans l’affaire des eaux contaminées qui entache l’image du géant mondial de l’agroalimentaire Nestlé. Selon les informations de Franceinfo et du « Monde », l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail (Anses) a remis, mi-octobre 2023, au ministère de la Santé, une note estimant que la « qualité sanitaire » des eaux du groupe suisse (Perrier, Contrex, Vittel, Hépar…) n’était pas garantie.

Dans ce document, des experts évoquent un « niveau de confiance insuffisant » pour assurer « la qualité sanitaire des produits finis ». L’Anses recommande au ministère de la Santé un « plan de surveillance renforcé ».

Des concentrations « parfois élevées » de bactéries

La contamination des eaux minérales du groupe Nestlé concerne des bactéries, pesticides et PFAS, ces polluants chimiques éternels nocifs pour l’environnement et la santé et dans le viseur d’une proposition de loi . Les experts de l’Anses ont relevé la présence, dans des concentrations « parfois élevées », de bactéries type Escherichia coli ou entérocoques intestinaux, alors que la réglementation sur les eaux minérales naturelles précise bien que ces eaux doivent être totalement exemptes de bactéries, que ce soit après ou avant embouteillage.

A l’origine de cette nouvelle expertise, une demande des Agences régionales de santé (ARS) du Grand Est et d’Occitanie, régions où se trouvent les deux usines d’embouteillage du groupe. En juin 2023, le directeur de l’ARS Occitanie s’inquiète d’une « contamination régulière des eaux brutes sur au moins cinq des sept forages », de « la présence de micropolluants » et « de traitements interdits » dans l’usine du site de Vergèze, où est produite la marque Perrier.

Des sources qui ne devraient plus être exploitées

L’expertise a été conduite par le Laboratoire d’hydrologie de Nancy (LHN), le département de l’Anses chargé de la sûreté des eaux de consommation. Dans leurs conclusions, les experts ont constaté de multiples « contaminations d’origine fécale », « la présence chronique notable de micropolluants », et « l’absence de paramètre permettant le suivi de la contamination virale des eaux ». Selon ces experts, ces non-conformités détectées « ne devraient pas conduire à la production d’eaux embouteillées » à partir de ces sources naturelles.

Fin janvier, Radio France et « Le Monde » avaient révélé l’étendue du problème. D’après un rapport de l’Inspection générale des affaires sociales, « au moins 30 % des marques d’eau en bouteille avaient recours à des traitements interdits par la réglementation, dont la totalité des marques exploitées par Nestlé ».

Contacté par « Les Echos », Danone, propriétaire entre autres d’Evian et Badoit, avait alors déclaré : « Nos eaux minérales naturelles ont toujours répondu aux exigences de qualité et de conformité en vigueur. » De son côté, la direction de Nestlé a assuré avoir retiré tous les traitements illicites mis en place ces dernières années.

Après ses révélations, l’ONG Foodwatch déplore à Franceinfo qu’aucune « information n’a été communiquée aux consommateurs ni par Nestlé ni par les autorités ». « C’est grave, juge Ingrid Kragl, directrice de l’information de l’association. La directive européenne sur les eaux et le Code de la santé publique sont pourtant limpides : lorsque l’eau minérale est polluée, il ne fait aucun doute que la mise en bouteille et la commercialisation doivent être suspendues. Or, ce n’est pas ce qu’il s’est passé. »

Julien Boitel

Publié le 4 avr. 2024

Perrier, Vittel, Contrex : Nestlé fait son mea culpa

Pendant des années, Nestlé Waters a enfreint en France la réglementation pour maintenir la sécurité et la minéralité de ses eaux. Il a négocié avec les autorités la mise en place d’un nouveau cadre lui permettant de revenir dans le droit chemin tout en maintenant l’essentiel de sa production.

Faute avouée, faute à moitié pardonnée ? Pendant des années, Nestlé Waters, le numéro un de l’eau minérale en France, a enfreint la réglementation.

Au nom de la sécurité alimentaire et du maintien de la composition minérale de Perrier , Hépar, Vittel ou Contrex, la filiale hexagonale du géant suisse a utilisé des filtres à charbon actif et un traitement aux ultraviolets, avant de mettre en bouteille l’eau provenant de ses différents puits.

Interdites par la réglementation, qui précise que les eaux minérales ne doivent pas être « désinfectées », ces techniques ont permis à Nestlé de surmonter l’impact du dérèglement climatique et la montée du stress hydrique qui affectaient en partie la minéralité de ses eaux.

Trois ans de remise aux normes

A la tête de Nestlé Waters Europe depuis trois ans, Muriel Lienau fait son mea culpa. « Il y a eu des erreurs, conduisant à des enjeux de conformité. Tout en garantissant la sécurité alimentaire, nous avons utilisé des mesures de protection qui n’étaient pas en ligne avec le cadre réglementaire ou avec son interprétation », convient celle qui dirige aussi aujourd’hui l’ensemble des activités de Nestlé en France, déjà secouées en 2022 par le scandale des pizzas Buitoni contaminées, dans l’usine Nestlé de Caudry (Hauts-de-France).

Il a négocié avec les autorités la mise en place d’un nouveau cadre lui permettant de revenir dans le droit chemin tout en maintenant l’essentiel de sa production.

Cette fois, pour éviter un nouveau scandale, de lourdes sanctions et une catastrophe économique, l’entreprise a préféré prendre les devants et reconnaître son erreur. Il y a trois ans, Nestlé a ainsi prévenu le gouvernement et les autorités sanitaires et proposé un plan d’actions, sous contrôle, avec différentes solutions pour se mettre en conformité.

Soucieux de préserver près de 2.000 emplois directs et des grandes marques tricolores, le gouvernement a accepté le dialogue avec le géant de l’agroalimentaire et consenti à clarifier un cadre réglementaire qui n’avait pas bougé depuis quinze ans. 

Le groupe suisse a, en particulier, réussi à convaincre les autorités qu’il était désormais possible d’utiliser, à certains seuils, de nouvelles générations de micro-filtres autorisés dans d’autres pays pour maintenir la qualité gustative et la minéralité de ses eaux. Sans pour autant que cela puisse être considéré comme une désinfection, qui reste interdite.

Revenir dans le droit chemin a tout de même eu des conséquences financières et commerciales. Même avec l’utilisation de nouveaux micro-filtres, tous les puits de ses différentes sources ne sont plus en mesure de fournir des eaux répondant au cahier des charges des eaux minérales.

Un impact économique

Nestlé a donc dû se résigner à fermer deux puits dans les Vosges qui alimentaient Hépar, dont la production est, de ce fait, réduite de moitié. Deux des huit puits dans le Gard utilisés pour Perrier ne seront, eux, pas fermés, mais l’eau qui en est tirée ne pouvant plus être considérée comme minérale, Nestlé a décidé de lancer Maison Perrier, une nouvelle gamme d’eaux aromatisées.

La production de la célèbre eau gazeuse qui tournait autour de 1,7 milliard de bouteilles par an est tombée à 1,2 milliard depuis l’arrêt du recours aux solutions techniques de filtrage illégales. Mais avec le lancement de Maison Perrier, Nestlé espère renouer avec ses volumes historiques.

Pour se mettre en conformité, le groupe a investi une cinquantaine de millions d’euros et réalisé dix-huit mois de travaux sur ces deux sites. Le groupe, qui a également pris la décision d’arrêter la commercialisation de Vittel en Allemagne, a aussi dû lancer l’an dernier un plan social sur son site des Vosges.

Au total, 171 salariés sont concernés, soit 25 % de l’effectif. Le site emploie désormais 850 personnes (contre 950 à Vergèze dans le Gard).

« Un héritage du passé »

« Toutes nos opérations sont désormais conformes et il est important pour nous de faire toute la transparence pour nos consommateurs », se félicite Muriel Lienau, qui ne précise pas pendant combien d’années Nestlé a enfreint la réglementation.

« C’était un héritage du passé. Nous nous sommes concentrés sur les solutions et nous nous sommes mobilisés pour assurer l’avenir, pour nos marques et nos consommateurs, pour nos sites, nos employés et les communautés qui en dépendent », fait valoir la dirigeante. Le temps de remise aux normes a néanmoins fait perdre du terrain à Nestlé Waters sur un secteur très disputé.

Parmi les champions français de l’eau, la filiale a vu ses parts de marché reculer de 27 à 23 % en France en raison de la baisse de sa capacité de production. Toujours leader sur les eaux gazeuses, Perrier a vu sa part tomber de 45 % à 40 % en 2023.

Le groupe, qui reconnaît aujourd’hui son erreur, a sans doute préservé l’essentiel. Mais la reconnaissance de ce faux pas pourrait avoir de lourdes conséquences en termes d’image.

David Barroux, avec Dominique Chapuis

Publié le 29 janv. 2024

Eaux minérales : les autorités de santé pointent la fraude de Nestlé

Des rapports de l’IGAS et de la DGCCRF décrivent comment le géant de l’eau minérale a contourné pendant des années la réglementation.

Dans la foulée du mea culpa de Nestlé Waters dans « Les Echos », lundi 29 janvier, « Le Monde » et Radio France ont révélé plusieurs rapports des autorités de santé françaises et de la DGCCRF pointant du doigt la fraude dont s’est rendu coupable le géant de l’eau minérale.

Pour maintenir la sécurité sanitaire de ses eaux minérales, comme Perrier, Vittel ou Contrex, qui ne peuvent légalement être traitées, la filiale française du géant suisse a eu recours à des filtres et des traitements aux ultraviolets. Dès 2021, le groupe agroalimentaire a pris les devants et prévenu les pouvoirs publics pour tenter d’obtenir un assouplissement de la législation. « Le Monde » révèle qu’une « réunion interministérielle s’est tenue le 22 février 2022 pour assouplir la réglementation par voie d’arrêtés préfectoraux ». Nestlé a pu ainsi installer des microfiltres désormais jugés conformes à une législation assouplie, mais le quotidien se demande si cet assouplissement est « bien conforme au droit européen ».

Selon « Le Monde », « l’étendue du problème va bien au-delà des eaux commercialisées par l’entreprise suisse. Dans un rapport remis au gouvernement en juillet 2022, l’inspection générale des affaires sociales [IGAS] estime que 30 % des marques françaises ont recours à des traitements non conformes ». Comme la part de marché de Nestlé Waters est d’environ 30 % en France, la fraude n’est peut-être pas, en volume commercialisé, si généralisée que cela.

Danone se dit hors de cause

Contacté, Danone, propriétaire entre autres d’Evian et Badoit, déclare : « Nos eaux minérales naturelles ont toujours répondu aux exigences de qualité et de conformité en vigueur. » « La préservation de leur qualité originelle est notre priorité absolue depuis les territoires des sources à nos sites de production. Au quotidien, ce niveau d’exigence nous impose une excellence opérationnelle permanente afin de garantir à nos consommateurs la qualité, la stabilité et le goût unique de nos eaux », précise un porte-parole. « Le Monde » note toutefois que les fournisseurs de microfiltres comptent comme clients de nombreux minéraliers opérant sur le territoire français.

Selon les documents de la DGCCRF, la surveillance des sites d’embouteillage, qui peuvent renfermer plus de 50 kilomètres de tuyauterie, s’avère particulièrement complexe : « Les dispositifs de traitement sont parfois très discrets, le plus souvent sous des carters en Inox. » Le filtrage aux UV a aussi pu se faire via l’utilisation de boîtiers mobiles, difficiles à détecter lors de contrôles.

David Barroux

Publié le 30 janv. 2024

éthique-gouvernance, place dans l'organisation, RISK MANAGER-FONCTION RISK MANAGER, RISQUES

De trop nombreuses « affaires devraient conduire Nestlé à s’intéresser à sa gestion du risque éthique »

2 commentaires

La pause estivale du blog aura été plus longue que prévue.

  • J’attendais la publication de ma Tribune dans Le Monde pour faire une rentrée en « fanfare » ; elle est parue lundi 14 octobre 2024. Lire ci-dessous.
  • Une Tribune comme celle que me permet de publier Le Monde et dont je le remercie est de diffuser mes connaissances en gestion des risques avec pour objectif de faire entendre mon expertise appuyée sur mes travaux de recherche sur un sujet d’actualité.

Vous retrouverez :

Pour en savoir plus :

A venir sur le blog dans 15 jours : des articles détaillant les faits des « affaires » Nestlé.  

Le Monde (site web)

Idees, lundi 14 octobre 2024 – 06:30 UTC +0200 1043 mots

De trop nombreuses « affaires devraient conduire Nestlé à s’intéresser à sa gestion du risque éthique »

Caroline Aubry

Contamination des pizzas Buitoni, traitement des eaux Vittel, Contrex, Hépar et Perrier, le nouveau patron du groupe Nestlé doit mettre en place une nouvelle stratégie de gestion des risques, coûteux pour l’entreprise, estime Caroline Aubry, chercheuse en sciences de gestion, dans une tribune au « Monde ».

La rentrée de Laurent Freixe, le nouveau PDG du géant de l’agroalimentaire Nestlé, est chargée : un environnement économique menaçant, une croissance en berne et… une image fragilisée, voire dégradée. La stratégie annoncée d’un « retour aux fondamentaux » ne suffira pas à restaurer la croissance. Elle doit s’accompagner d’une réflexion sur le risque éthique, actuellement trop fréquent et coûteux pour l’entreprise.

L’éthique est la mise en pratique quotidienne des valeurs de l’entreprise et plus largement le respect des valeurs humaines et sociétales. Elle se décline en deux dimensions : d’une part le développement durable – le risque éthique est alors proche du risque environnemental –, d’autre part la gouvernance – il s’agit alors du respect des engagements de transparence, de prise en compte des parties prenantes et d’ouverture aux besoins de l’environnement global (concurrentiel, réglementaire, sociétal…) dans lequel opère l’organisation.

La contribution au déficit de la nappe phréatique de la commune de Vittel (Vosges), qui se retrouve à importer de l’eau potable des centres voisins, relève du risque éthique dans sa première dimension : elle porte atteinte à l’environnement.

Réaction tardive

La contamination des pizzas Buitoni est un risque opérationnel, mais aussi éthique, cette fois dans sa dimension gouvernance : la réaction de l’entreprise a été tardive ; la direction générale du groupe s’est cachée derrière la marque Buitoni ; d’abord absente, sa communication lors des cas de contamination grave et du décès de deux enfants a ensuite été minimaliste ; les parties prenantes n’ont pas été prises en compte.

Le non-respect de la réglementation européenne interdisant la désinfection des eaux minérales, l’aveu de traitements tels que les ultraviolets et les filtres au charbon actif, la mise en doute de la qualité sanitaire des sources Vittel, Contrex, Hépar et Perrier (bactéries, matières fécales, pesticides…) par l’Agence nationale de sécurité sanitaire et l’Agence régionale de santé Occitanie relèvent de cette même dimension ; il s’agit dans les deux cas de fraudes avérées.

Les « affaires » sont décidément trop fréquentes chez Nestlé : Buitoni et les pizzas contaminées (2022, 2024), la contribution au déficit de la nappe phréatique (2024), les traitements interdits (2024), la contamination de sources d’eau minérale naturelle en France (2024).

L’impact économique des trois dernières est fort. Le groupe a fermé deux puits dans les Vosges qui alimentaient Hépar, dont la production est de ce fait réduite de moitié. Il a également fermé plusieurs des huit puits dans le Gard utilisés pour Perrier ; la production de Perrier, qui tournait autour de 1,7 milliard de bouteilles par an, est tombée à 1,2 milliard depuis l’arrêt du recours aux solutions techniques de filtrage illégales ; Perrier a vu sa part du marché des eaux gazeuses tomber de 45 % à 40 % en 2023. Pour se mettre en conformité, le groupe a investi une cinquantaine de millions d’euros, réalisé dix-huit mois de travaux sur deux sites et a lancé un plan social sur son site des Vosges.

Chute du cours de Bourse

L’impact sur l’image, facteur-clé de la capitalisation boursière, est fort, contribuant à la chute de 20 % du cours de Bourse sur les cinq dernières années.

En revanche, l’impact juridique est modéré. Nestlé a été condamné au paiement d’une amende de 2 millions d’euros dans un délai de trois mois après avoir conclu une convention judiciaire d’intérêt public avec le parquet d’Epinal, et à l’obligation de restauration environnementale de deux cours d’eau affluents de la Meuse et des zones humides sur le territoire de Vittel et de Contrexeville. L’entreprise chiffre cette restauration environnementale à 1,1 million d’euros.

Cet impact aurait pu être beaucoup plus fort. Tous les amplificateurs de risque étaient présents : intervention du régulateur européen, fort écho dans les médias traditionnels et les réseaux sociaux, saisie des associations de consommateurs.

Mais l’absence de préjudice avéré à la santé publique, la prudence du gouvernement soucieux de préserver deux mille emplois et embarrassé par les négociations menées il y a trois ans avec le groupe autour d’un plan d’actions sous contrôle des autorités sanitaires, une gestion de crise meilleure (aveu et mea-culpa des dirigeants) que lors du scandale Buitoni lui ont permis d’éviter une catastrophe économique, un scandale et de lourdes sanctions. Mais le groupe n’aura peut-être pas la même chance avec la mise en examen en juillet de Nestlé France et de sa filiale fabriquant les pizzas Buitoni contaminées.

Fonction incontournable

Ces affaires devraient conduire Nestlé à s’intéresser à sa gestion des risques, pour amener à se poser la question du risque éthique, sous-estimé, voire négligé. L’arrivée d’un nouveau patron doit être une occasion de faire évoluer cette gestion vers une fonction de type managérial (risk manager), dont le rôle, doté d’une autorité forte, serait de centraliser des informations au service de la direction générale.

Celle-ci doit s’impliquer dans la gestion des risques et le soutien à la fonction qui l’incarne : elle doit reconnaître leur nature stratégique, communiquer en interne auprès de tous les acteurs sur ses sujets, fixer au risk manager et à son équipe des objectifs affichés de gouvernance cohérents avec son rôle. Rendue plus visible, cette fonction doit être prise en compte par les parties prenantes et devient incontournable. Peut alors se créer une culture du risque qui se traduit par une pratique commune et cohérente avec les valeurs affichées.

Telle pourrait être la trajectoire du groupe Nestlé pour rétablir la confiance avec les parties prenantes, mener à bien son « retour aux fondamentaux », et façonner ainsi un avenir pérenne.

Caroline Aubry est maîtresse de conférences en sciences de gestion au Laboratoire de gestion et des transformations organisationnelles (LGTO, université Toulouse-III-Paul-Sabatier) et coautrice, avec Nicolas Dufour, de Risk Management. Organisation et positionnement de la fonction Risk Manager. Méthodes de gestion des risques (Gereso, 2022).

Cet article est paru dans Le Monde (site web)

GESTION DES RISQUES, RISK MANAGER-FONCTION RISK MANAGER, RISQUES

PAUSE ESTIVALE : pour mieux se retrouver en septembre / parce que le temps des vacances est pour beaucoup d’entre nous un temps de la lecture, d’échanges, de suggestions du type « la belle-sœur d’une amie qui m’a dit qu’elle avait lu… »

Laisser un commentaire

📌 Découvrez et/ou partagez une lecture « transversale » qui retrace l’histoire du risque, de la gestion des risques, des premières fonctions risk-manager / qui identifie l’activité, la place dans l’organisation et les compétences des Risk-Manager / qui présente la démarche de gestion des risques, ses outils et ses méthodes :

« Risk Management. Organisation et positionnement de la Fonction Risk Manager. Méthodes et Gestion des risques. » Editions Gereso. 293 pages, 18,99 à 27 euros

https://librairie.gereso.com/livre-entreprise/risk-management-fris2.html

Une lecture conseillée par la presse conseillée par la Presse (Le Monde Informatique, La Tribune de l’Assurance par exemple) :

Voir Retour Presse
22 Juin 2022
Journaliste : Bertrand Lemaire
http://www.lemondeinformatique.fr p. 1/2

« Guide sur la fonction de gestionnaire de risques
Caroline Aubry et Nicolas Dufour viennent de publier chez Gereso « Risk Management – Organisation et positionnement de
la Fonction Risk Manager – Méthodes de gestion des risques ».

L’ ouvrage « Risk Management » vient de paraître chez Gereso.
Les DSI ont tendance à ne voir que les risques de type cyber-menaces, risques qui ne méritent plus tellement leur nom tant leur certitude est aujourd’hui absolue. Or les risques pouvant affecter un SI sont bien plus vastes : risques fournisseurs, risques physiques (incendies, inondations..), etc. La gestion des risques doit donc impérativement faire partie de leur
périmètre, en partenariat avec le spécialiste de leur entreprise, le gestionnaire de risques. Pour comprendre les ressorts de cette gestion des risques, la lecture « Risk Management – Organisation et positionnement de la Fonction Risk Manager – Méthodes de gestion des risques » qui vient de paraître chez Gereso, sous les signatures de Caroline Aubry et Nicolas Dufour, pourra leur être très utile. Cet ouvrage leur permettra en effet à la fois d’apprendre les méthodes de gestion des risques mais aussi de comprendre le travail du gestionnaire de risques et ainsi de savoir comment travailler avec lui.

L’ouvrage débute par les fondamentaux sur la gestion des risques et le travail du gestionnaire de risques. Un chapitre est ensuite consacré aux différentes classes de risques et ce qu’implique cette classification en matière de réponses. La méthode de gestion des risques occupe bien sûr un important chapitre ainsi que la bonne insertion dans les process et l’organigramme du gestionnaire de risques. Pour terminer, un chapitre se consacre aux compétences nécessaires pour bien gérer des risques.
Le texte est clair, sans jargon inutile, et est illustré de tableaux et de schémas autant que nécessaire dans un but pédagogique.

A propos de l’ouvrage Risk Management – Organisation et positionnement de la Fonction Risk Manager – Méthodes de gestion des risques, par Caroline Aubry et Nicolas Dufour (Editions Gereso, 293 pages, 18,99 à 27 euros) »

📌 Découvrez ou relisez l’actualité du risque, du risk management et du Risk Manager sur le blog via les mots-clés ou les archives. L’actualité du risque, du risk management et du Risk Manager est toujours aussi dense. Les défis à relever sont nombreux, porteurs d’opportunités et de menaces. J’ai essayé durant cette année universitaire de vous donner des éléments pour la contextualiser, l’analyser et agir.

📌 Abonnez-vous au blog

élargissement du domaine du risque, réglementation et amplification du risque, RISQUES

RGPD : « ON NE POURRA PAS DIRE QUE L’ON NE SAVAIT PAS » (Opus 3). IMPACT : ACTE DE CONCURRENCE DELOYALE.

Laisser un commentaire

Après les conseils de lecture, l’actualité du risque de cyberfraude entrainant le traitement illicite-la perte-le vol de données, les amendes sanctionnant les manquements de nombreuses entreprises, je vous propose en lien avec le titre de mon contenu un article qui revient :

Sur le premier jugement de culpabilité d’acte de concurrence déloyale suite à une violation du RGPD.

Non-respect du RGPD / concurrence déloyale

Ayant constaté une violation du RGPD (absence de privacy policy notamment), le tribunal juge que « tout manquement à la réglementation dans l’exercice d’une activité commerciale induisant nécessairement un avantage concurrentiel indu pour son auteur, [la défenderesse] s’est rendue coupable d’acte de concurrence déloyale ».

Le principe de la concurrence déloyale engendrée par la violation d’une norme n’est certes pas neuf, mais il est affirmé avec force et appliqué pour la première fois concernant la RGPD.

Dans un litige commercial, le tribunal constate l’absence de charte vie privée, ce qui caractérise une violation du RGPD. Il juge tout manquement à la réglementation dans l’exercice d’une activité commerciale induisant nécessairement un avantage concurrentiel indu pour son auteur, la défenderesse s’est rendue coupable d’acte de concurrence déloyale.

L’histoire est, au départ, banale :

  • PLAISANCE EQUIPEMENTS est une entreprise familiale française active dans le secteur de la réparation de machines agricoles. Elle est titulaire d’une marque verbale de l’Union européenne et de deux brevets.
  • Une société de droit néerlandais A.T.W.T fabrique des pièces d’usure adaptables, notamment des pièces destinées à des machines agricoles. Ses produits sont distribués en France par une société CARBTECH.
  • PLAISANCE considère que les produits commercialisés en France par CARBTECH violent sa marque et ses brevets.

L’assignation est longue comme le bras et soulève plusieurs arguments :

  • Contrefaçon de brevet ;
  • Contrefaçon de marque ;
  • Concurrence déloyale par manquement à la règlementation.

Nous ne passerons en revue que quelques-uns des arguments.

Google Adwords

La marque est-elle contrefaite par l’utilisation de Google Adwords ?

Rappelant la jurisprudence de la CJUE, le tribunal rappelle que « l’utilisation dans le programme Adwords de Google de mots clés même constituant la marque d’un concurrent n’est pas interdite en soi et ne constitue pas du seul fait de cette utilisation une contrefaçon de marque. Elle n’est illicite qu’en cas de confusion effective dans les résultats affichés entre les produits du titulaire de la marque et ceux du concurrent, c’est-à-dire lorsque les résultats de la recherche ne permettent pas ou seulement difficilement à l’internaute moyen de savoir si les produits ou les services visés par l’annonce proviennent du titulaire de la marque ou d’une entreprise économiquement liée à celui-ci ou, au contraire, d’un tiers. »

Le tribunal constate qu’une recherche dans Google sur les termes « marteau pour broyeur PLAISANCE » propose en premier choix d’accéder au site « carbtech.fr ». Le lien est libellé « marteau pour broyeur [Localité 7] – Pièces Haute Résistance HRT » et, en-dessous, il est indiqué « Votre partenaire contre l’usure marteaux pour broyeur [Localité 7] ».

Le tribunal juge que l’utilisation du terme « partenaire » et de la préposition « pour » associée au fait que c’est bien le site de la défenderesse qui est affiché, est de nature à permettre à l’internaute moyen d’être éclairé sur l’identité de ce site, étant précisé que celui-ci est au cas d’espèce non un consommateur lambda, mais un professionnel utilisant des engins à broyer et qu’en cette qualité, il connaît le marché des pièces de rechange.

Ce jugement est conforme au cadre juridique et la jurisprudence : voyez notre dossier complet sur le référencement pour plus d’infos.

Concurrence déloyale par violation du RGPD

La plaignante fait valoir que la société CARBTECH ne respecte ni la réglementation applicable à un site internet marchand, ni le droit de la consommation, ni le RGPD, et qu’étant en concurrente sur le « marché des pièces d’usure », les manquements à la réglementation en vigueur sont générateurs d’une rupture d’égalité dans la concurrence, indépendamment de tout risque de confusion, qui constitue une faute.

Le tribunal approuve :

« La concurrence déloyale, fondée sur le principe général de responsabilité édicté par l’article 1240 du code civil, consiste dans des agissements s’écartant des règles générales de loyauté et de probité professionnelle applicables dans les activités économiques et régissant la vie des affaires tels que ceux créant un risque de confusion avec les produits ou services offerts par un autre opérateur.

Constitue un acte de concurrence déloyale le non-respect d’une règlementation dans l’exercice d’une activité commerciale, qui induit nécessairement un avantage concurrentiel indu pour son auteur (Cass. Com., 17 mars 2021, no01-10.414).

Par ailleurs et comme le relève justement la demanderesse, une situation de concurrence directe ou effective n’est pas une condition de l’action en concurrence déloyale, qui exige seulement l’existence de faits fautifs générateurs d’un préjudice (Cass. Com., 13 mai 2016, no14-24.905). »

Le tribunal constate qu’il manque des informations obligatoires sur le site web, mais surtout que « la société CARBTECH procède à une collecte de données à caractère personnel portant notamment sur le nom, l’email et le numéro de téléphone des personnes concernées sans fournir aucune information sur les conditions de ce ou ces traitements et en se limitant en réalité à un paragraphe d’information dans l’onglet ‘mentions légales’ ».

Le tribunal critique cette situation : « aucune charte de confidentialité n’est cependant mise à la disposition du public, le lien dédié renvoyant en réalité à une page d’erreur comme cela ressort du procès-verbal de constat d’huissier dressé le 25 janvier 2019. »

Au regard de l’ensemble de ces éléments et dans la mesure où tout manquement à la réglementation dans l’exercice d’une activité commerciale induit nécessairement un avantage concurrentiel indu pour son auteur, il convient de juger que la société CARBTECH s’est rendue coupable d’acte de concurrence déloyale au préjudice de la demanderesse.

Commentaires

Le principe de la concurrence déloyale qui découle de la violation d’une loi ou d’une règlementation n’est pas neuf.

Ce qui est novateur, en l’espèce, c’est le caractère systématique de l’avantage concurrentiel indu : pour le tribunal, « tout » manquement à la réglementation dans l’exercice d’une activité commerciale induit « nécessairement » un avantage concurrentiel indu pour son auteur. La combinaison des termes « tout » et « nécessairement », crée un mécanisme redoutable dans lequel la plus petite faute pourrait avoir des conséquences incontrôlables. Il faudra encore attendre un peu pour voir si cette formulation se généralisera dans la jurisprudence.

Rappelons qu’en Belgique, le juriste dispose de l’article VI.104 CDE qui répond à la même logique mais permet précisément une approche au cas par cas : est interdit « tout acte contraire aux pratiques honnêtes du marché par lequel une entreprise porte atteinte ou peut porter atteinte aux intérêts professionnels d’une ou de plusieurs autres entreprises ». Les tribunaux font de longue date une interprétation très large de cette disposition, qui permet de sanctionner efficacement les manquements à la loi.

Etienne Wery. Le 12/12/2022 

E.R.M, identification des risques, LEGISLATEUR - REGULATEUR ET AMPLIFICATION DU RISQUE, quantification-cartographies, rgpd

RGPD : « ON NE POURRA PAS DIRE QUE L’ON NE SAVAIT PAS » (2). IMPACT et SANCTIONS.

Un commentaire

Après les conseils de lecture et l’actualité du risque de cyberfraude entrainant le traitement illicite-la perte-le vol de données (suivre le lien), je vous propose en lien avec le titre de mon contenu de revenir sur son impact très fort à travers un nouveau contenu :

Une infographie des sanctions récentes : les géants et les autres.

  • Les géants sont sanctionnés – Meta, Apple, EdF, H&M…-
  • Mais pas que… « La CNIL a adressé une importante sanction à l’encontre du Groupe CANAL+ ! »

ACTUS LES ECHOS – 6 juin 2024 – 8h02 – Données personnelles et IA : Meta visé par 11 plaintes en Europe

Le géant américain des réseaux sociaux Meta (Facebook, Instagram) est visé ce jeudi par des plaintes dans 11 pays européens pour un projet d’utilisation « illégale » des données personnelles de ses utilisateurs dans un programme d’intelligence artificielle, selon un communiqué de l’association Noyb.

Bête noire des géants de la tech, l’ONG viennoise demande aux autorités d’intervenir « en urgence » pour empêcher la mise en oeuvre de cette nouvelle politique de confidentialité, prévue le 26 juin. Si certaines données publiques sont déjà utilisées pour entraîner les modèles d’IA générative, Meta veut aller plus loin et « carrément prendre » l’ensemble des données de ses milliards d’utilisateurs collectées depuis 2007. Après ces 11 Etats, dont la France, la Belgique ou encore l’Allemagne, des procédures seront engagées dans les autres pays de l’UE « dans les prochains jours ».

Les Echos. 6 juin 2024

Infographie des amendes au titre du RGPD

La Commission irlandaise de protection des données, l’équivalent de la Cnil en France, a décidé la semaine dernière d’infliger une amende de 265 millions d’euros à Facebook pour avoir violé le règlement général sur la protection des données (RGPD), suite à une immense fuite de données d’utilisateurs survenue entre mai 2018 et septembre 2019. Cette amende est la quatrième infligée aux plateformes détenues par la société mère de Facebook, Meta. Même si cette somme peut sembler considérable, il ne s’agit pas du montant le plus élevé qu’une entreprise ait dû payer dans l’histoire du RGPD.

Comme le montre notre graphique, cet honneur discutable revient à Amazon, un autre géant du Web. En juillet 2021, le régulateur luxembourgeois avait infligé une amende monstre de 746 millions d’euros à la branche européenne du groupe américain, pour « non-respect des principes généraux de traitement des données dans le cadre du RGPD », d’après le suivi réalisé par CMS. La quatrième place de ce classement revient à la messagerie WhatsApp, suivie de trois amendes reçues par Google et d’une infligée à Facebook.

Le cadre réglementaire du RGPD vise à donner aux utilisateurs un plus grand contrôle sur leurs données et impose de nouvelles normes à la gestion des données personnelles en entreprise. Pour les contrevenants à ces règles, les sanctions sont souvent lourdes. Le RGPD a été mis en place le 25 mai 2018, en remplacement de la directive européenne sur la protection des données de 1995, et contient 99 articles. À ce jour, le suivi de CMR recense 1 507 violations individuelles du RGPD, bien que les données soient très probablement incomplètes puisque toutes les amendes ne sont pas rendues publiques.

Tristan Gaudiaut 5 déc. 2022

Les montants des sanctions finissent par de belles additions si on y ajoute les 5 milliards de dollars payés en 2019 aux autorités américaines et les 725 millions de dollars réglés ce mois-ci pour éteindre une action collective … et le metavers n’a pas encore fait jurisprudence…
La contribution des juges à la mise en conformité des réseaux sociaux a un coût que semblent prêts à supporter leurs acteurs. 

Données personnelles : la somme des amendes contre Meta s’approche du milliard d’euros

Le champion des applications de réseaux social vient d’être une nouvelle fois sanctionné par la CNIL irlandaise. Celle-ci lui réclame 265 millions d’euros pour n’avoir pas su protéger les données de 500 millions d’utilisateurs de ses applications dans le monde.

C’est un cap symbolique que la maison mère de Facebook, Instagram et WhatsApp aurait préféré ne jamais franchir. Et encore moins au moment où les difficultés économiques s’accumulent et l’ont contraint au premier plan de licenciement de son histoire. Condamné une nouvelle fois à une gigantesque amende pour avoir échoué à protéger des données personnelles d’internautes européens, Meta cumule désormais quasiment 1 milliard d’euros d’amende auprès des régulateurs du Vieux Continent.

La dernière sanction en date punit le champion des réseaux sociaux car il n’avait pas su empêcher l’aspiration en 2019 puis la publication en 2021 de données relatives à plus de 500 millions des utilisateurs de ses applications dans le monde. Outre une amende de 265 millions d’euros annoncée lundi 28 novembre, la CNIL irlandaise indique avoir imposé à Meta des mesures correctives mais ne précise pas lesquelles.

Les conséquences du RGPD

Dans le détail, les cybercriminels étaient parvenus à détourner des fonctionnalités de découverte de nouveaux contacts – comme Facebook Search, Facebook Messenger Contact Importer et Instagram Contact Importer – pour constituer d’importants jeux de données qu’ils espéraient revendre au marché noir. A la suite de la parution de nombreux articles de presse, la DPC irlandaise avait ouvert une enquête en avril 2021. Meta assure y avoir pleinement coopéré.

Depuis 2018 et l’entrée en application du règlement européen sur la protection des données personnelles (RGPD), Meta est le groupe le plus sanctionné par les instances européennes. De Twitter à Google en passant par Amazon, aucun ne s’est autant attiré les foudres de ce règlement qui a considérablement durci les sanctions sur ce sujet et prévoit des amendes égales à 4 % du chiffre d’affaires mondial des contrevenants.

60 millions d’euros d’amende en France

A ce jour, l’amende la plus importante imposée à Meta est venue punir les manquements constatés sur Instagram en matière de protection des données des utilisateurs âgés de 13 à 17 ans. Pas moins de 405 millions d’euros ont été réclamés en septembre dernier à Meta, qui a fait appel. L’an dernier, le groupe de Mark Zuckerberg a par ailleurs été prié de payer 225 millions d’euros d’amende pour non-respect du RGPD sur WhatsApp. Mais il a, là encore, fait appel.

Plus modestement, Meta n’a pas échappé à une amende de 17 millions d’euros en raison de la découverte en fin d’année 2018 d’une douzaine de failles de sécurité désormais résorbées. En France, la CNIL présidée par Marie-Laure Denis a de son côté sanctionné la filiale européenne de Facebook d’une amende d’un montant de 60 millions d’euros, au motif que les utilisateurs de Facebook en France ne pouvaient pas refuser aussi facilement qu’ils les acceptaient les cookies, ces fichiers qui pistent leurs historiques de navigation. A l’échelle européenne, treize enquêtes concernant Meta sont toujours en cours.

Par Florian Dèbes. 28 nov. 2022

Une sanction de 600 000 euros à l’encontre de EDF


Plusieurs manquements sont concernés :

✔ L’obligation de recueillir le consentement des personnes à recevoir de la prospection commerciale par voie électronique
✔ L’obligation d’information et au respect de l’exercice des droits
✔ L’obligation d’assurer la sécurité des données personnelles 
 

Données personnelles : Apple sous le coup d’une sanction symbolique de la CNIL

Le fabricant de l’iPhone va devoir s’acquitter d’une amende de 8 millions d’euros après une plainte de l’association France Digitale. Mais le gendarme français des données personnelles a retenu plusieurs circonstances atténuantes.

Les propriétaires d’iPhones pouvaient bien décliner les identifiants publicitaires mais le choix ne leur était pas proposé directement puisqu’ils devaient proactivement fouiller dans les paramètres de l’App Store.

Même les premiers de la classe ont parfois des mauvaises notes. Pourtant reconnu comme plus sérieux que bien d’autres champions américains de la tech en matière de protection des données personnelles, Apple vient d’en faire les frais. Averti par la CNIL, le fabricant de l’iPhone va devoir s’acquitter d’une amende de 8 millions d’euros.

La CNIL reproche à l’entreprise de Tim Cook d’avoir déposé sur le smartphone de ses clients français des identifiants destinés à personnaliser des publicités affichées dans l’App Store – le magasin d’applications d’Apple – avant d’avoir recueilli leur consentement. « Lors d’un contrôle en juin 2021, nous avons constaté deux manquements de la part d’Apple qui rendaient plus difficile de refuser les identifiants publicitaires que de les accepter », explique Louis Dutheillet de Lamothe, le secrétaire général du régulateur français des données personnelles.

Simili-cookies à la sauce Apple

Dans le détail, les propriétaires d’iPhones pouvaient bien décliner ces identifiants mais le choix ne leur était pas proposé directement puisqu’ils devaient proactivement fouiller dans les paramètres de l’App Store. Second manquement, particulièrement problématique pour la CNIL, la case autorisant le dépôt de ces simili-cookies à la sauce Apple était pré-cochée…

Cette sanction donne raison à l’association de start-up et d’investisseurs France Digitale qui avait saisi la CNIL en mars 2021. « Le jugement et la sanction de la CNIL viennent confirmer que la réglementation permet de freiner et condamner les comportements abusifs, en l’occurrence l’atteinte à la vie privée par Apple », se satisfait Maya Noël, sa directrice générale.

Symboliquement, l’association peut se réjouir : alors que nombres de ses membres ont le sentiment d’être pris à la gorge par les règles de protection de la vie privée imposées par Apple depuis avril 2021 aux développeurs d’applications pour iPhones et iPad, son action vient ébrécher l’armure de chevalier de la confidentialité volontiers endossée à Cupertino. Mais le groupe californien est toujours le seul à disposer de données de premières mains au sein de son écosystème, tandis qu’il développe à vive allure son activité dans la publicité en ligne.

Manquements corrigés

Par ailleurs, le montant de l’amende reste faible au regard des milliards de dollars de cash d’Apple. Bien que la Cnil se soit montrée plus sévère que ce qu’avait requis le rapporteur (6 millions d’euros) lors de l’audience en décembre dernier, l’amende est bien inférieure aux 60 millions d’euros infligés à Meta et il y a peu à Microsoft ou à la note de 150 millions d’euros adressée à Google.

Mais dans cette affaire, la directive européenne e-privacy s’appliquait, et non le plus exigeant règlement européen sur la protection des données personnelles (RGPD). La CNIL a aussi retenu plusieurs circonstances atténuantes. D’abord, les manquements ont été corrigés par Apple avant même la fin de la procédure. Ensuite, le dépôt de l’identifiant publicitaire étaient destinés à nourrir un système de personnalisation des publicités basés sur le comportement de cohortes d’utilisateurs et non un système individualisé, plus intrusif.

Lors de l’audience, Apple s’était défendu en niant toute gravité à la violation de la loi qui lui était reprochée et avait demandé la non-publicité d’une éventuelle sanction. « Nous sommes déçus par cette décision, la CNIL ayant précédemment reconnu que la façon dont nous diffusons les annonces dans l’App Store donne la priorité à la protection de la vie privée des utilisateurs », a réagi l’entreprise. Dans un court communiqué, la société annonce son intention de faire appel.

Florian Dèbes. 4 janv. 2023

La CNIL a adressé une importante sanction à l’encontre du Groupe CANAL+ !


La CNIL a reçu 31 plaintes émanant de personnes qui ont éprouvé des difficultés pour faire valoir leurs droits vis-à-vis de la société spécialisée dans l’édition de chaînes et la distribution d’offres de télévision payante, à savoir le GROUPE CANAL+. Ces plaintes portaient sur des questions liées à la prospection téléphonique, la divulgation de données bancaires et l’exercice de leurs droits.

À la suite des constatations effectuées lors des inspections menées par la formation restreinte de la CNIL, il a été conclu que la société avait enfreint plusieurs obligations prévues par le RGPD ainsi que le code des postes et des communications électroniques (CPCE).

Voici la liste des manquements retenus :

– Un manquement à l’obligation de recueillir le consentement des personnes à recevoir de la prospection commerciale par voie électronique (articles L. 34-5 du CPCE et 7 du RGPD)

– Des manquements à l’obligation d’information (articles 13 et 14 du RGPD) et au respect de l’exercice des droits (articles 12 et 15 du RGPD)

– Un manquement à l’obligation d’encadrer les traitements effectués par un sous-traitant par un contrat (article 28.3 du RGPD)

– Un manquement à l’obligation d’assurer la sécurité des données personnelles (article 32 du RGPD)

– Un manquement à l’obligation de notifier à la CNIL une violation de données (article 33 du RGPD)

Au regard de ces informations, la CNIL a prononcé une amende de 600 000 € à l’encontre du Groupe CANAL + et l’a rendue publique.

Le montant de cette amende a été décidé au regard des manquements retenus, ainsi qu’en tenant compte de la coopération de la société et de l’ensemble des mesures qu’elle a prises au cours de la procédure pour se mettre en conformité.


Non classé

Une Gestion des Risques de type ERM – globale, transversale, intégrée -et une Fonction Risk Manager de type « managériale » qui la met en place, leviers de différenciation. Une Gestion des Risques de type ERM – globale, transversale, intégrée – et une Fonction Risk Manager de type « managériale », créatrices de valeur.

Laisser un commentaire

L’article des Echos ci-dessous l’évoque. C’est ce que j’essaie de montrer dans :

✴️ Mes articles de recherche / le dernier Aubry C., « La Fonction Risk Manager dans les entreprises françaises non financières : ses rôles sur la période de son émergence », Revue Management et Avenir, n°134, avril, p.61-82, 2023. https://www.cairn.info/revue-management-et-avenir-2023-2-page-61.htm

✴️ L’ouvrage co-écrit avec N. Dufour / Aubry C., Dufour N., « Risk Management. Organisation et positionnement de la Fonction Risk Manager. Méthodes de gestion des risques », Editions Gereso, 2ème édition, juin 2022. https://librairie.gereso.com/livre-entreprise/risk-management-fris2.html

✴️ Au fil du blog

#opportunité #creationdevaleur #différenciation #risques #risque #analysedesrisques #riskanalysis #identificationdesrisques #gestiondesrisques #riskmanagement #enterpriseriskmanagement #riskmanager #gestionnairederisques #mastergestiondesrisques

Climat, droits de l’Humain : les entreprises françaises peinent encore à contrôler leurs sous-traitants

Depuis l’entrée en vigueur de la loi française sur le devoir de vigilance en 2017, l’écrasante majorité des entreprises en a fait un boulet réglementaire plus qu’un levier de compétitivité. A tort, selon les meilleurs élèves de la classe. 

Publié le 19 juin 2024 à 09:01

La décision de la Cour d’appel de Paris mardi de juger recevables deux assignations contre TotalEnergies et EDF pour manquements à leur devoir de vigilance ressemble à un coup dur pour les grandes entreprises françaises. Cela fait sept ans que les groupes employant plus de 5.000 salariés sont soumis à la loi française « relative au devoir de vigilance des sociétés mères et entreprises donneuses d’ordre » mais jusqu’ici ce texte avait peu d’effet. Seule La Poste a été condamnée en première instance en fin d’année dernière.

Ce n’est pas faute, du côté des ONG, d’avoir dénoncé les manquements des entreprises : une dizaine d’assignations ont été réalisées et une vingtaine de sociétés ont fait l’objet fin 2023 d’une mise en demeure. Pour cause, « les grands groupes ont dans leur majorité adopté une approche de mise en conformité minimale qui rend pour l’instant difficile l’évaluation de l’efficacité de leur dispositif », observe Juliette Guillou, senior manager chargée de l’offre sur le devoir de vigilance et les droits humains au sein du centre d’excellence ESG de KPMG.

Une cartographie des risques inadaptée

Le cabinet de conseil a passé en revue 72 acteurs du SBF120 s’étant pliés en 2022 à la présentation d’un plan de vigilance intégrant une cartographie de leurs risques susceptibles de porter une atteinte grave aux droits humains et aux libertés fondamentales, à la santé et la sécurité des personnes, et à l’environnement. Parmi eux, seuls 36 % intégraient ces trois familles de risques pourtant spécifiques à la loi.

Les grandes entreprises se plaignent de l’accumulation d’obligations réglementaires menaçant leur compétitivité. Sans surprise, le manque de démarche dédiée se double ainsi d’un défaut d’engagement réel. Selon l’étude de KPMG, seulement 42 % des entreprises étudiées disposent d’un plan couvrant le périmètre extra-groupe, soit l’essentiel de ce qui constitue leur chaîne d’approvisionnement. 37 % seulement ont par ailleurs mis en place une cartographie spécifique pour cette dernière. Quant au pilotage du devoir de vigilance, trois quarts des entreprises ne publient aucun compte rendu de la mise en oeuvre effective de leur plan.

« On est encore le plus souvent sur une liste à la Prévert des actions à mener, confirme Patrick Viallanex, associé chargé des offres Responsabilité sociétale et Finance durable chez A2 Consulting. Un véritable pilotage qui prend en compte le niveau de risque et l’objectif de baisse visé doit encore émerger mais certaines entreprises commencent à publier des indicateurs de performance et d’impact, comme les émissions de gaz à effets de serre de leurs fournisseurs ou le taux d’accidentologie de ces derniers ».

Un levier de différenciation à exploiter

Le verre n’est de fait qu’à moitié vide. Depuis qu’il a lancé, en 2018, avec le Forum pour l’nvestissement responsable (FIR) le prix du meilleur plan de vigilance, le cabinet A2 Consulting a vu s’élargir le fossé entre une grosse poignée d’entreprises plus investies et les autres. Schneider Electric et Orange sont en pole position mais Air Liquide, Renault, Hermès ou encore L’Oréal ont pris le taureau par les cornes.

Ce travail nous a permis de renforcer nos chaînes d’approvisionnementNicolas Vlieghe directeur de la conformité et de l’éthique chez Schneider Electric

Et cela se révèle payant. « Ce travail nous a permis de renforcer nos chaînes d’approvisionnement. Notre processus d’évaluation des risques ESG peut nous amener à revoir certains grands projets dont les risques environnementaux et sociaux ne sont pas en ligne avec nos critères », témoigne Nicolas Vlieghe, directeur de la conformité et de l’éthique chez Schneider Electric. Le groupe a par ailleurs créé une plateforme qui centralise toutes les informations ayant trait au devoir de vigilance que ses propres clients pourraient lui demander afin de gagner en efficacité.

Ces demandes promettent d’être de plus en plus nombreuses dans la mesure où la nouvelle directive européenne sur le devoir de vigilance CS3D devra être transposée dans les 27 Etats membres de l’UE d’ici à deux ans. « Dans l’esprit, c’est une extension de la loi française plus qu’une révolution », précise Nicolas Vlieghe. Dans ce contexte, aussi critiquée soit-elle par les grands groupes, la loi française, que les ONG ne manqueront pas d’utiliser comme levier contre les entreprises françaises les moins allantes, pourrait se révéler un mal pour un bien.

Un défi pour les ETI et PME

Elle devrait en effet donner à ces acteurs une longueur d’avance par rapport à leurs concurrents européens qui sont encore moins matures sur le concept de devoir de vigilance. Selon le cabinet EcoVadis qui a passé en revue près de 90 % de 5.400 acteurs concernés par la directive CS3D sur leur politique d’achats, la France se trouve au troisième rang des meilleurs élèves, derrière la Suède et le Danemark.

50,5 % des entreprises couvertes par la CS3D dans l’Hexagone devront procéder à des ajustements moyens à importants pour respecter ces nouvelles exigences réglementaires, contre seulement 44 % en Suède et 46 % au Danemark. A titre de comparaison, ce sont 65 % des grandes entreprises en Allemagne qui devront fournir un travail considérable pour se mettre en conformité.

Le chemin reste néanmoins très escarpé pour beaucoup, notamment pour les entreprises employant entre 1.000 et 5.000 personnes, qui n’étaient pas couvertes par la loi française, et pour leurs petits donneurs d’ordre qui devront aussi rentrer dans les clous de la directive. « La gestion des normes et réglementations représente déjà pour les entreprises de taille intermédiaire 28 milliards d’euros par an, soit 2,6 % de leur chiffre d’affaires, c’est colossal ! », s’exclame Frédéric Coirier, coprésident du Mouvement des ETI (METI) qui appelle au principe de proportionnalité pour ses membres.

Ninon Renaud

Publié le 19 juin 2024

LEGISLATEUR - REGULATEUR ET AMPLIFICATION DU RISQUE, rgpd

RGPD : « ON NE POURRA PAS DIRE QUE L’ON NE SAVAIT PAS. »

Un commentaire

Cette phrase empruntée à Jean-Philippe Riehl (source LI) m’a donné envie de revenir sur le 5ème anniversaire de l’application de RGPD, le 11 mars 2024, que j’avais laissé passer.

Le RGPD est ce que j’appelle un « amplificateur » de risque. Du risque de cyberfraude qui se traduit par le traitement illicite-la perte-le vol de données.

Ce risque arrive en tête en France et dans le monde du baromètre des risques d’Allianz 2024.

J’ai souvent écrit sur le RGPD :

  • Dans l’ouvrage co-écrit avec N.Dufour : Voir Chapitre I L’activité des Risk Managers, p117-122 Dans l’ouvrage : Aubry C., Dufour N., Risk Management. Organisation de la Fonction Risk Manager. Méthodes de gestion des risques, 2022
  • Sur ce blog, notamment en janvier 2021 et en 2020 en y consacrant plusieurs contenus. Cliquez sur ce lien pour y accéder ou allez sur le blog et retrouvez-les dans la rubrique « Législateur-Régulateur et amplification du risque »

Des conseils de lecture : deux rapports de la CNIL

A l’occasion de cet anniversaire, la CNIL propose deux bilans dont je vous conseille la lecture :

Ce mois-ci sur le BLOG :

Je vous propose en lien avec le titre de mon contenu de revenir sur l’actualité de ce risque / sur son l’impact à travers trois nouveaux contenus :

  • Son actualité / Paris 2024 : nouveau vol d’informations confidentielles à l’approche des JO ! / Utilisation des données personnelles et IA par Méta
  • Son impact / Une infographie des sanctions récentes : les géants sont sanctionnés mais pas que
  • Son impact / Non-respect du RGPD et concurrence déloyale

Vol d’informations à l’approche des JO

En l’espace d’une semaine, deux ordinateurs et du matériel informatique de personnes travaillant pour l’organisation des JO de Paris ont été volés.

Comme l’écrit Emmanuelle Hervé sur LI : « Au-delà du caractère plus ou moins sensible, voire confidentiel, des données pouvant être ainsi récupérées, ces vols, opportunistes ou ciblés, révèlent un manque de prise en compte des enjeux de sécurité et de protection de l’information ».

Paris 2024 : nouveau vol d’informations confidentielles à l’approche des JO !

Un ordinateur contenant les plans d’accès et de circulation de certains événements pendant les Jeux olympiques a été dérobé à l’intérieur de la voiture de la secrétaire générale de la direction de l’hôpital Avicenne.

© Paris2024 / Service de presse perpétuel – Une plainte a été déposée par la secrétaire générale de la direction de l’hôpital Avicenne.

Nouvelle ombre au tableau des JO. Quelques jours après le vol d’un ordinateur contenant des plans de sécurisation de la ville de Paris pour les Jeux olympiques, un autre larcin en lien avec l’événement a été observé, à Drancy cette fois-ci. D’après les informations de BFM TV révélées le 4 mars 2024, vendredi dernier, un autre ordinateur a été subtilisé. Une plainte a ainsi été déposée par la secrétaire générale de la direction de l’hôpital Avicenne. Cette dernière a vu sa voiture dégradée sur le parking d’un centre commercial. Elle a expliqué aux policiers qu’elle était en train de faire ses courses pendant à ce moment-là.

L’ordinateur volé était à usage professionnel. Malheureusement, il contenait des informations telles que les plans d’accès et de circulation de certains événements pendant les Jeux olympiques. Le commissariat est chargée des investigations. Dans le même temps, une enquête a été ouverte, indique BFM TV, relayant une information du parquet de Bobigny. Les chefs de vol avec dégradation ont été retenus. Le parquet fait savoir que « les informations relatives aux JO figurant dans l’ordinateur n’étaient pas confidentielles, et destinées à être publiques notamment sur les plans de circulation (logistique) de divers hôpitaux du département ».

Des données sensibles déjà subtilisées

Quelques jours plus tôt, le 26 février, un autre vol de données avait fait tache. Cette fois-ci, il s’agissait d’un ordinateur et de deux clés USB contenant des données dites « sensibles ». Elles concernaient la cybersécurité de la mairie de Paris pendant les Jeux olympiques. À la suite du dépôt de plainte d’un employé de la municipalité de la capitale, un homme avait été arrêté. Il a finalement été condamné à une peine de sept mois de prison.

Par Pierre Fougères Publié le 04/03/2024

ACTUS LES ECHOS – 6 juin 2024 – 8h02 – Données personnelles et IA : Meta visé par 11 plaintes en Europe

Le géant américain des réseaux sociaux Meta (Facebook, Instagram) est visé ce jeudi par des plaintes dans 11 pays européens pour un projet d’utilisation « illégale » des données personnelles de ses utilisateurs dans un programme d’intelligence artificielle, selon un communiqué de l’association Noyb.

Bête noire des géants de la tech, l’ONG viennoise demande aux autorités d’intervenir « en urgence » pour empêcher la mise en oeuvre de cette nouvelle politique de confidentialité, prévue le 26 juin. Si certaines données publiques sont déjà utilisées pour entraîner les modèles d’IA générative, Meta veut aller plus loin et « carrément prendre » l’ensemble des données de ses milliards d’utilisateurs collectées depuis 2007. Après ces 11 Etats, dont la France, la Belgique ou encore l’Allemagne, des procédures seront engagées dans les autres pays de l’UE « dans les prochains jours ».

Les Echos. 6 juin 2024

cyberisque-cybersécurité, RISQUES

A LIRE. LUCY. CYBERASSURANCE 2024.  

Laisser un commentaire

L’étude LUmière sur la CYberassurance (LUCY) 2024 vient d’être publiée par l’ AMRAE – Management des Risques et des Assurances de l’Entreprise.

Cette 4ème édition dépeint le marché français du Cyber.

Je viens de repartager sur LI le post de Diego Sainz. A LIRE

A LIRE OU RELIRE : tous les contenus / cyber risque et cyber assurances disponibles sur ce blog. Utilisez les mots clés cyber risque-cyber sécurité pour y accéder directement.