Tous les articles par carolineaubry

GESTION DES RISQUES, RISK MANAGER-FONCTION RISK MANAGER, RISQUES

PAUSE ESTIVALE : pour mieux se retrouver en septembre / parce que le temps des vacances est pour beaucoup d’entre nous un temps de la lecture, d’échanges, de suggestions du type « la belle-sœur d’une amie qui m’a dit qu’elle avait lu… »

Laisser un commentaire

📌 Découvrez et/ou partagez une lecture « transversale » qui retrace l’histoire du risque, de la gestion des risques, des premières fonctions risk-manager / qui identifie l’activité, la place dans l’organisation et les compétences des Risk-Manager / qui présente la démarche de gestion des risques, ses outils et ses méthodes :

« Risk Management. Organisation et positionnement de la Fonction Risk Manager. Méthodes et Gestion des risques. » Editions Gereso. 293 pages, 18,99 à 27 euros

https://librairie.gereso.com/livre-entreprise/risk-management-fris2.html

Une lecture conseillée par la presse conseillée par la Presse (Le Monde Informatique, La Tribune de l’Assurance par exemple) :

Voir Retour Presse
22 Juin 2022
Journaliste : Bertrand Lemaire
http://www.lemondeinformatique.fr p. 1/2

« Guide sur la fonction de gestionnaire de risques
Caroline Aubry et Nicolas Dufour viennent de publier chez Gereso « Risk Management – Organisation et positionnement de
la Fonction Risk Manager – Méthodes de gestion des risques ».

L’ ouvrage « Risk Management » vient de paraître chez Gereso.
Les DSI ont tendance à ne voir que les risques de type cyber-menaces, risques qui ne méritent plus tellement leur nom tant leur certitude est aujourd’hui absolue. Or les risques pouvant affecter un SI sont bien plus vastes : risques fournisseurs, risques physiques (incendies, inondations..), etc. La gestion des risques doit donc impérativement faire partie de leur
périmètre, en partenariat avec le spécialiste de leur entreprise, le gestionnaire de risques. Pour comprendre les ressorts de cette gestion des risques, la lecture « Risk Management – Organisation et positionnement de la Fonction Risk Manager – Méthodes de gestion des risques » qui vient de paraître chez Gereso, sous les signatures de Caroline Aubry et Nicolas Dufour, pourra leur être très utile. Cet ouvrage leur permettra en effet à la fois d’apprendre les méthodes de gestion des risques mais aussi de comprendre le travail du gestionnaire de risques et ainsi de savoir comment travailler avec lui.

L’ouvrage débute par les fondamentaux sur la gestion des risques et le travail du gestionnaire de risques. Un chapitre est ensuite consacré aux différentes classes de risques et ce qu’implique cette classification en matière de réponses. La méthode de gestion des risques occupe bien sûr un important chapitre ainsi que la bonne insertion dans les process et l’organigramme du gestionnaire de risques. Pour terminer, un chapitre se consacre aux compétences nécessaires pour bien gérer des risques.
Le texte est clair, sans jargon inutile, et est illustré de tableaux et de schémas autant que nécessaire dans un but pédagogique.

A propos de l’ouvrage Risk Management – Organisation et positionnement de la Fonction Risk Manager – Méthodes de gestion des risques, par Caroline Aubry et Nicolas Dufour (Editions Gereso, 293 pages, 18,99 à 27 euros) »

📌 Découvrez ou relisez l’actualité du risque, du risk management et du Risk Manager sur le blog via les mots-clés ou les archives. L’actualité du risque, du risk management et du Risk Manager est toujours aussi dense. Les défis à relever sont nombreux, porteurs d’opportunités et de menaces. J’ai essayé durant cette année universitaire de vous donner des éléments pour la contextualiser, l’analyser et agir.

📌 Abonnez-vous au blog

élargissement du domaine du risque, réglementation et amplification du risque, RISQUES

RGPD : « ON NE POURRA PAS DIRE QUE L’ON NE SAVAIT PAS » (Opus 3). IMPACT : ACTE DE CONCURRENCE DELOYALE.

Laisser un commentaire

Après les conseils de lecture, l’actualité du risque de cyberfraude entrainant le traitement illicite-la perte-le vol de données, les amendes sanctionnant les manquements de nombreuses entreprises, je vous propose en lien avec le titre de mon contenu un article qui revient :

Sur le premier jugement de culpabilité d’acte de concurrence déloyale suite à une violation du RGPD.

Non-respect du RGPD / concurrence déloyale

Ayant constaté une violation du RGPD (absence de privacy policy notamment), le tribunal juge que « tout manquement à la réglementation dans l’exercice d’une activité commerciale induisant nécessairement un avantage concurrentiel indu pour son auteur, [la défenderesse] s’est rendue coupable d’acte de concurrence déloyale ».

Le principe de la concurrence déloyale engendrée par la violation d’une norme n’est certes pas neuf, mais il est affirmé avec force et appliqué pour la première fois concernant la RGPD.

Dans un litige commercial, le tribunal constate l’absence de charte vie privée, ce qui caractérise une violation du RGPD. Il juge tout manquement à la réglementation dans l’exercice d’une activité commerciale induisant nécessairement un avantage concurrentiel indu pour son auteur, la défenderesse s’est rendue coupable d’acte de concurrence déloyale.

L’histoire est, au départ, banale :

  • PLAISANCE EQUIPEMENTS est une entreprise familiale française active dans le secteur de la réparation de machines agricoles. Elle est titulaire d’une marque verbale de l’Union européenne et de deux brevets.
  • Une société de droit néerlandais A.T.W.T fabrique des pièces d’usure adaptables, notamment des pièces destinées à des machines agricoles. Ses produits sont distribués en France par une société CARBTECH.
  • PLAISANCE considère que les produits commercialisés en France par CARBTECH violent sa marque et ses brevets.

L’assignation est longue comme le bras et soulève plusieurs arguments :

  • Contrefaçon de brevet ;
  • Contrefaçon de marque ;
  • Concurrence déloyale par manquement à la règlementation.

Nous ne passerons en revue que quelques-uns des arguments.

Google Adwords

La marque est-elle contrefaite par l’utilisation de Google Adwords ?

Rappelant la jurisprudence de la CJUE, le tribunal rappelle que « l’utilisation dans le programme Adwords de Google de mots clés même constituant la marque d’un concurrent n’est pas interdite en soi et ne constitue pas du seul fait de cette utilisation une contrefaçon de marque. Elle n’est illicite qu’en cas de confusion effective dans les résultats affichés entre les produits du titulaire de la marque et ceux du concurrent, c’est-à-dire lorsque les résultats de la recherche ne permettent pas ou seulement difficilement à l’internaute moyen de savoir si les produits ou les services visés par l’annonce proviennent du titulaire de la marque ou d’une entreprise économiquement liée à celui-ci ou, au contraire, d’un tiers. »

Le tribunal constate qu’une recherche dans Google sur les termes « marteau pour broyeur PLAISANCE » propose en premier choix d’accéder au site « carbtech.fr ». Le lien est libellé « marteau pour broyeur [Localité 7] – Pièces Haute Résistance HRT » et, en-dessous, il est indiqué « Votre partenaire contre l’usure marteaux pour broyeur [Localité 7] ».

Le tribunal juge que l’utilisation du terme « partenaire » et de la préposition « pour » associée au fait que c’est bien le site de la défenderesse qui est affiché, est de nature à permettre à l’internaute moyen d’être éclairé sur l’identité de ce site, étant précisé que celui-ci est au cas d’espèce non un consommateur lambda, mais un professionnel utilisant des engins à broyer et qu’en cette qualité, il connaît le marché des pièces de rechange.

Ce jugement est conforme au cadre juridique et la jurisprudence : voyez notre dossier complet sur le référencement pour plus d’infos.

Concurrence déloyale par violation du RGPD

La plaignante fait valoir que la société CARBTECH ne respecte ni la réglementation applicable à un site internet marchand, ni le droit de la consommation, ni le RGPD, et qu’étant en concurrente sur le « marché des pièces d’usure », les manquements à la réglementation en vigueur sont générateurs d’une rupture d’égalité dans la concurrence, indépendamment de tout risque de confusion, qui constitue une faute.

Le tribunal approuve :

« La concurrence déloyale, fondée sur le principe général de responsabilité édicté par l’article 1240 du code civil, consiste dans des agissements s’écartant des règles générales de loyauté et de probité professionnelle applicables dans les activités économiques et régissant la vie des affaires tels que ceux créant un risque de confusion avec les produits ou services offerts par un autre opérateur.

Constitue un acte de concurrence déloyale le non-respect d’une règlementation dans l’exercice d’une activité commerciale, qui induit nécessairement un avantage concurrentiel indu pour son auteur (Cass. Com., 17 mars 2021, no01-10.414).

Par ailleurs et comme le relève justement la demanderesse, une situation de concurrence directe ou effective n’est pas une condition de l’action en concurrence déloyale, qui exige seulement l’existence de faits fautifs générateurs d’un préjudice (Cass. Com., 13 mai 2016, no14-24.905). »

Le tribunal constate qu’il manque des informations obligatoires sur le site web, mais surtout que « la société CARBTECH procède à une collecte de données à caractère personnel portant notamment sur le nom, l’email et le numéro de téléphone des personnes concernées sans fournir aucune information sur les conditions de ce ou ces traitements et en se limitant en réalité à un paragraphe d’information dans l’onglet ‘mentions légales’ ».

Le tribunal critique cette situation : « aucune charte de confidentialité n’est cependant mise à la disposition du public, le lien dédié renvoyant en réalité à une page d’erreur comme cela ressort du procès-verbal de constat d’huissier dressé le 25 janvier 2019. »

Au regard de l’ensemble de ces éléments et dans la mesure où tout manquement à la réglementation dans l’exercice d’une activité commerciale induit nécessairement un avantage concurrentiel indu pour son auteur, il convient de juger que la société CARBTECH s’est rendue coupable d’acte de concurrence déloyale au préjudice de la demanderesse.

Commentaires

Le principe de la concurrence déloyale qui découle de la violation d’une loi ou d’une règlementation n’est pas neuf.

Ce qui est novateur, en l’espèce, c’est le caractère systématique de l’avantage concurrentiel indu : pour le tribunal, « tout » manquement à la réglementation dans l’exercice d’une activité commerciale induit « nécessairement » un avantage concurrentiel indu pour son auteur. La combinaison des termes « tout » et « nécessairement », crée un mécanisme redoutable dans lequel la plus petite faute pourrait avoir des conséquences incontrôlables. Il faudra encore attendre un peu pour voir si cette formulation se généralisera dans la jurisprudence.

Rappelons qu’en Belgique, le juriste dispose de l’article VI.104 CDE qui répond à la même logique mais permet précisément une approche au cas par cas : est interdit « tout acte contraire aux pratiques honnêtes du marché par lequel une entreprise porte atteinte ou peut porter atteinte aux intérêts professionnels d’une ou de plusieurs autres entreprises ». Les tribunaux font de longue date une interprétation très large de cette disposition, qui permet de sanctionner efficacement les manquements à la loi.

Etienne Wery. Le 12/12/2022 

E.R.M, identification des risques, LEGISLATEUR - REGULATEUR ET AMPLIFICATION DU RISQUE, quantification-cartographies, rgpd

RGPD : « ON NE POURRA PAS DIRE QUE L’ON NE SAVAIT PAS » (2). IMPACT et SANCTIONS.

Un commentaire

Après les conseils de lecture et l’actualité du risque de cyberfraude entrainant le traitement illicite-la perte-le vol de données (suivre le lien), je vous propose en lien avec le titre de mon contenu de revenir sur son impact très fort à travers un nouveau contenu :

Une infographie des sanctions récentes : les géants et les autres.

  • Les géants sont sanctionnés – Meta, Apple, EdF, H&M…-
  • Mais pas que… « La CNIL a adressé une importante sanction à l’encontre du Groupe CANAL+ ! »

ACTUS LES ECHOS – 6 juin 2024 – 8h02 – Données personnelles et IA : Meta visé par 11 plaintes en Europe

Le géant américain des réseaux sociaux Meta (Facebook, Instagram) est visé ce jeudi par des plaintes dans 11 pays européens pour un projet d’utilisation « illégale » des données personnelles de ses utilisateurs dans un programme d’intelligence artificielle, selon un communiqué de l’association Noyb.

Bête noire des géants de la tech, l’ONG viennoise demande aux autorités d’intervenir « en urgence » pour empêcher la mise en oeuvre de cette nouvelle politique de confidentialité, prévue le 26 juin. Si certaines données publiques sont déjà utilisées pour entraîner les modèles d’IA générative, Meta veut aller plus loin et « carrément prendre » l’ensemble des données de ses milliards d’utilisateurs collectées depuis 2007. Après ces 11 Etats, dont la France, la Belgique ou encore l’Allemagne, des procédures seront engagées dans les autres pays de l’UE « dans les prochains jours ».

Les Echos. 6 juin 2024

Infographie des amendes au titre du RGPD

La Commission irlandaise de protection des données, l’équivalent de la Cnil en France, a décidé la semaine dernière d’infliger une amende de 265 millions d’euros à Facebook pour avoir violé le règlement général sur la protection des données (RGPD), suite à une immense fuite de données d’utilisateurs survenue entre mai 2018 et septembre 2019. Cette amende est la quatrième infligée aux plateformes détenues par la société mère de Facebook, Meta. Même si cette somme peut sembler considérable, il ne s’agit pas du montant le plus élevé qu’une entreprise ait dû payer dans l’histoire du RGPD.

Comme le montre notre graphique, cet honneur discutable revient à Amazon, un autre géant du Web. En juillet 2021, le régulateur luxembourgeois avait infligé une amende monstre de 746 millions d’euros à la branche européenne du groupe américain, pour « non-respect des principes généraux de traitement des données dans le cadre du RGPD », d’après le suivi réalisé par CMS. La quatrième place de ce classement revient à la messagerie WhatsApp, suivie de trois amendes reçues par Google et d’une infligée à Facebook.

Le cadre réglementaire du RGPD vise à donner aux utilisateurs un plus grand contrôle sur leurs données et impose de nouvelles normes à la gestion des données personnelles en entreprise. Pour les contrevenants à ces règles, les sanctions sont souvent lourdes. Le RGPD a été mis en place le 25 mai 2018, en remplacement de la directive européenne sur la protection des données de 1995, et contient 99 articles. À ce jour, le suivi de CMR recense 1 507 violations individuelles du RGPD, bien que les données soient très probablement incomplètes puisque toutes les amendes ne sont pas rendues publiques.

Tristan Gaudiaut 5 déc. 2022

Les montants des sanctions finissent par de belles additions si on y ajoute les 5 milliards de dollars payés en 2019 aux autorités américaines et les 725 millions de dollars réglés ce mois-ci pour éteindre une action collective … et le metavers n’a pas encore fait jurisprudence…
La contribution des juges à la mise en conformité des réseaux sociaux a un coût que semblent prêts à supporter leurs acteurs. 

Données personnelles : la somme des amendes contre Meta s’approche du milliard d’euros

Le champion des applications de réseaux social vient d’être une nouvelle fois sanctionné par la CNIL irlandaise. Celle-ci lui réclame 265 millions d’euros pour n’avoir pas su protéger les données de 500 millions d’utilisateurs de ses applications dans le monde.

C’est un cap symbolique que la maison mère de Facebook, Instagram et WhatsApp aurait préféré ne jamais franchir. Et encore moins au moment où les difficultés économiques s’accumulent et l’ont contraint au premier plan de licenciement de son histoire. Condamné une nouvelle fois à une gigantesque amende pour avoir échoué à protéger des données personnelles d’internautes européens, Meta cumule désormais quasiment 1 milliard d’euros d’amende auprès des régulateurs du Vieux Continent.

La dernière sanction en date punit le champion des réseaux sociaux car il n’avait pas su empêcher l’aspiration en 2019 puis la publication en 2021 de données relatives à plus de 500 millions des utilisateurs de ses applications dans le monde. Outre une amende de 265 millions d’euros annoncée lundi 28 novembre, la CNIL irlandaise indique avoir imposé à Meta des mesures correctives mais ne précise pas lesquelles.

Les conséquences du RGPD

Dans le détail, les cybercriminels étaient parvenus à détourner des fonctionnalités de découverte de nouveaux contacts – comme Facebook Search, Facebook Messenger Contact Importer et Instagram Contact Importer – pour constituer d’importants jeux de données qu’ils espéraient revendre au marché noir. A la suite de la parution de nombreux articles de presse, la DPC irlandaise avait ouvert une enquête en avril 2021. Meta assure y avoir pleinement coopéré.

Depuis 2018 et l’entrée en application du règlement européen sur la protection des données personnelles (RGPD), Meta est le groupe le plus sanctionné par les instances européennes. De Twitter à Google en passant par Amazon, aucun ne s’est autant attiré les foudres de ce règlement qui a considérablement durci les sanctions sur ce sujet et prévoit des amendes égales à 4 % du chiffre d’affaires mondial des contrevenants.

60 millions d’euros d’amende en France

A ce jour, l’amende la plus importante imposée à Meta est venue punir les manquements constatés sur Instagram en matière de protection des données des utilisateurs âgés de 13 à 17 ans. Pas moins de 405 millions d’euros ont été réclamés en septembre dernier à Meta, qui a fait appel. L’an dernier, le groupe de Mark Zuckerberg a par ailleurs été prié de payer 225 millions d’euros d’amende pour non-respect du RGPD sur WhatsApp. Mais il a, là encore, fait appel.

Plus modestement, Meta n’a pas échappé à une amende de 17 millions d’euros en raison de la découverte en fin d’année 2018 d’une douzaine de failles de sécurité désormais résorbées. En France, la CNIL présidée par Marie-Laure Denis a de son côté sanctionné la filiale européenne de Facebook d’une amende d’un montant de 60 millions d’euros, au motif que les utilisateurs de Facebook en France ne pouvaient pas refuser aussi facilement qu’ils les acceptaient les cookies, ces fichiers qui pistent leurs historiques de navigation. A l’échelle européenne, treize enquêtes concernant Meta sont toujours en cours.

Par Florian Dèbes. 28 nov. 2022

Une sanction de 600 000 euros à l’encontre de EDF


Plusieurs manquements sont concernés :

✔ L’obligation de recueillir le consentement des personnes à recevoir de la prospection commerciale par voie électronique
✔ L’obligation d’information et au respect de l’exercice des droits
✔ L’obligation d’assurer la sécurité des données personnelles 
 

Données personnelles : Apple sous le coup d’une sanction symbolique de la CNIL

Le fabricant de l’iPhone va devoir s’acquitter d’une amende de 8 millions d’euros après une plainte de l’association France Digitale. Mais le gendarme français des données personnelles a retenu plusieurs circonstances atténuantes.

Les propriétaires d’iPhones pouvaient bien décliner les identifiants publicitaires mais le choix ne leur était pas proposé directement puisqu’ils devaient proactivement fouiller dans les paramètres de l’App Store.

Même les premiers de la classe ont parfois des mauvaises notes. Pourtant reconnu comme plus sérieux que bien d’autres champions américains de la tech en matière de protection des données personnelles, Apple vient d’en faire les frais. Averti par la CNIL, le fabricant de l’iPhone va devoir s’acquitter d’une amende de 8 millions d’euros.

La CNIL reproche à l’entreprise de Tim Cook d’avoir déposé sur le smartphone de ses clients français des identifiants destinés à personnaliser des publicités affichées dans l’App Store – le magasin d’applications d’Apple – avant d’avoir recueilli leur consentement. « Lors d’un contrôle en juin 2021, nous avons constaté deux manquements de la part d’Apple qui rendaient plus difficile de refuser les identifiants publicitaires que de les accepter », explique Louis Dutheillet de Lamothe, le secrétaire général du régulateur français des données personnelles.

Simili-cookies à la sauce Apple

Dans le détail, les propriétaires d’iPhones pouvaient bien décliner ces identifiants mais le choix ne leur était pas proposé directement puisqu’ils devaient proactivement fouiller dans les paramètres de l’App Store. Second manquement, particulièrement problématique pour la CNIL, la case autorisant le dépôt de ces simili-cookies à la sauce Apple était pré-cochée…

Cette sanction donne raison à l’association de start-up et d’investisseurs France Digitale qui avait saisi la CNIL en mars 2021. « Le jugement et la sanction de la CNIL viennent confirmer que la réglementation permet de freiner et condamner les comportements abusifs, en l’occurrence l’atteinte à la vie privée par Apple », se satisfait Maya Noël, sa directrice générale.

Symboliquement, l’association peut se réjouir : alors que nombres de ses membres ont le sentiment d’être pris à la gorge par les règles de protection de la vie privée imposées par Apple depuis avril 2021 aux développeurs d’applications pour iPhones et iPad, son action vient ébrécher l’armure de chevalier de la confidentialité volontiers endossée à Cupertino. Mais le groupe californien est toujours le seul à disposer de données de premières mains au sein de son écosystème, tandis qu’il développe à vive allure son activité dans la publicité en ligne.

Manquements corrigés

Par ailleurs, le montant de l’amende reste faible au regard des milliards de dollars de cash d’Apple. Bien que la Cnil se soit montrée plus sévère que ce qu’avait requis le rapporteur (6 millions d’euros) lors de l’audience en décembre dernier, l’amende est bien inférieure aux 60 millions d’euros infligés à Meta et il y a peu à Microsoft ou à la note de 150 millions d’euros adressée à Google.

Mais dans cette affaire, la directive européenne e-privacy s’appliquait, et non le plus exigeant règlement européen sur la protection des données personnelles (RGPD). La CNIL a aussi retenu plusieurs circonstances atténuantes. D’abord, les manquements ont été corrigés par Apple avant même la fin de la procédure. Ensuite, le dépôt de l’identifiant publicitaire étaient destinés à nourrir un système de personnalisation des publicités basés sur le comportement de cohortes d’utilisateurs et non un système individualisé, plus intrusif.

Lors de l’audience, Apple s’était défendu en niant toute gravité à la violation de la loi qui lui était reprochée et avait demandé la non-publicité d’une éventuelle sanction. « Nous sommes déçus par cette décision, la CNIL ayant précédemment reconnu que la façon dont nous diffusons les annonces dans l’App Store donne la priorité à la protection de la vie privée des utilisateurs », a réagi l’entreprise. Dans un court communiqué, la société annonce son intention de faire appel.

Florian Dèbes. 4 janv. 2023

La CNIL a adressé une importante sanction à l’encontre du Groupe CANAL+ !


La CNIL a reçu 31 plaintes émanant de personnes qui ont éprouvé des difficultés pour faire valoir leurs droits vis-à-vis de la société spécialisée dans l’édition de chaînes et la distribution d’offres de télévision payante, à savoir le GROUPE CANAL+. Ces plaintes portaient sur des questions liées à la prospection téléphonique, la divulgation de données bancaires et l’exercice de leurs droits.

À la suite des constatations effectuées lors des inspections menées par la formation restreinte de la CNIL, il a été conclu que la société avait enfreint plusieurs obligations prévues par le RGPD ainsi que le code des postes et des communications électroniques (CPCE).

Voici la liste des manquements retenus :

– Un manquement à l’obligation de recueillir le consentement des personnes à recevoir de la prospection commerciale par voie électronique (articles L. 34-5 du CPCE et 7 du RGPD)

– Des manquements à l’obligation d’information (articles 13 et 14 du RGPD) et au respect de l’exercice des droits (articles 12 et 15 du RGPD)

– Un manquement à l’obligation d’encadrer les traitements effectués par un sous-traitant par un contrat (article 28.3 du RGPD)

– Un manquement à l’obligation d’assurer la sécurité des données personnelles (article 32 du RGPD)

– Un manquement à l’obligation de notifier à la CNIL une violation de données (article 33 du RGPD)

Au regard de ces informations, la CNIL a prononcé une amende de 600 000 € à l’encontre du Groupe CANAL + et l’a rendue publique.

Le montant de cette amende a été décidé au regard des manquements retenus, ainsi qu’en tenant compte de la coopération de la société et de l’ensemble des mesures qu’elle a prises au cours de la procédure pour se mettre en conformité.


Non classé

Une Gestion des Risques de type ERM – globale, transversale, intégrée -et une Fonction Risk Manager de type « managériale » qui la met en place, leviers de différenciation. Une Gestion des Risques de type ERM – globale, transversale, intégrée – et une Fonction Risk Manager de type « managériale », créatrices de valeur.

Laisser un commentaire

L’article des Echos ci-dessous l’évoque. C’est ce que j’essaie de montrer dans :

✴️ Mes articles de recherche / le dernier Aubry C., « La Fonction Risk Manager dans les entreprises françaises non financières : ses rôles sur la période de son émergence », Revue Management et Avenir, n°134, avril, p.61-82, 2023. https://www.cairn.info/revue-management-et-avenir-2023-2-page-61.htm

✴️ L’ouvrage co-écrit avec N. Dufour / Aubry C., Dufour N., « Risk Management. Organisation et positionnement de la Fonction Risk Manager. Méthodes de gestion des risques », Editions Gereso, 2ème édition, juin 2022. https://librairie.gereso.com/livre-entreprise/risk-management-fris2.html

✴️ Au fil du blog

#opportunité #creationdevaleur #différenciation #risques #risque #analysedesrisques #riskanalysis #identificationdesrisques #gestiondesrisques #riskmanagement #enterpriseriskmanagement #riskmanager #gestionnairederisques #mastergestiondesrisques

Climat, droits de l’Humain : les entreprises françaises peinent encore à contrôler leurs sous-traitants

Depuis l’entrée en vigueur de la loi française sur le devoir de vigilance en 2017, l’écrasante majorité des entreprises en a fait un boulet réglementaire plus qu’un levier de compétitivité. A tort, selon les meilleurs élèves de la classe. 

Publié le 19 juin 2024 à 09:01

La décision de la Cour d’appel de Paris mardi de juger recevables deux assignations contre TotalEnergies et EDF pour manquements à leur devoir de vigilance ressemble à un coup dur pour les grandes entreprises françaises. Cela fait sept ans que les groupes employant plus de 5.000 salariés sont soumis à la loi française « relative au devoir de vigilance des sociétés mères et entreprises donneuses d’ordre » mais jusqu’ici ce texte avait peu d’effet. Seule La Poste a été condamnée en première instance en fin d’année dernière.

Ce n’est pas faute, du côté des ONG, d’avoir dénoncé les manquements des entreprises : une dizaine d’assignations ont été réalisées et une vingtaine de sociétés ont fait l’objet fin 2023 d’une mise en demeure. Pour cause, « les grands groupes ont dans leur majorité adopté une approche de mise en conformité minimale qui rend pour l’instant difficile l’évaluation de l’efficacité de leur dispositif », observe Juliette Guillou, senior manager chargée de l’offre sur le devoir de vigilance et les droits humains au sein du centre d’excellence ESG de KPMG.

Une cartographie des risques inadaptée

Le cabinet de conseil a passé en revue 72 acteurs du SBF120 s’étant pliés en 2022 à la présentation d’un plan de vigilance intégrant une cartographie de leurs risques susceptibles de porter une atteinte grave aux droits humains et aux libertés fondamentales, à la santé et la sécurité des personnes, et à l’environnement. Parmi eux, seuls 36 % intégraient ces trois familles de risques pourtant spécifiques à la loi.

Les grandes entreprises se plaignent de l’accumulation d’obligations réglementaires menaçant leur compétitivité. Sans surprise, le manque de démarche dédiée se double ainsi d’un défaut d’engagement réel. Selon l’étude de KPMG, seulement 42 % des entreprises étudiées disposent d’un plan couvrant le périmètre extra-groupe, soit l’essentiel de ce qui constitue leur chaîne d’approvisionnement. 37 % seulement ont par ailleurs mis en place une cartographie spécifique pour cette dernière. Quant au pilotage du devoir de vigilance, trois quarts des entreprises ne publient aucun compte rendu de la mise en oeuvre effective de leur plan.

« On est encore le plus souvent sur une liste à la Prévert des actions à mener, confirme Patrick Viallanex, associé chargé des offres Responsabilité sociétale et Finance durable chez A2 Consulting. Un véritable pilotage qui prend en compte le niveau de risque et l’objectif de baisse visé doit encore émerger mais certaines entreprises commencent à publier des indicateurs de performance et d’impact, comme les émissions de gaz à effets de serre de leurs fournisseurs ou le taux d’accidentologie de ces derniers ».

Un levier de différenciation à exploiter

Le verre n’est de fait qu’à moitié vide. Depuis qu’il a lancé, en 2018, avec le Forum pour l’nvestissement responsable (FIR) le prix du meilleur plan de vigilance, le cabinet A2 Consulting a vu s’élargir le fossé entre une grosse poignée d’entreprises plus investies et les autres. Schneider Electric et Orange sont en pole position mais Air Liquide, Renault, Hermès ou encore L’Oréal ont pris le taureau par les cornes.

Ce travail nous a permis de renforcer nos chaînes d’approvisionnementNicolas Vlieghe directeur de la conformité et de l’éthique chez Schneider Electric

Et cela se révèle payant. « Ce travail nous a permis de renforcer nos chaînes d’approvisionnement. Notre processus d’évaluation des risques ESG peut nous amener à revoir certains grands projets dont les risques environnementaux et sociaux ne sont pas en ligne avec nos critères », témoigne Nicolas Vlieghe, directeur de la conformité et de l’éthique chez Schneider Electric. Le groupe a par ailleurs créé une plateforme qui centralise toutes les informations ayant trait au devoir de vigilance que ses propres clients pourraient lui demander afin de gagner en efficacité.

Ces demandes promettent d’être de plus en plus nombreuses dans la mesure où la nouvelle directive européenne sur le devoir de vigilance CS3D devra être transposée dans les 27 Etats membres de l’UE d’ici à deux ans. « Dans l’esprit, c’est une extension de la loi française plus qu’une révolution », précise Nicolas Vlieghe. Dans ce contexte, aussi critiquée soit-elle par les grands groupes, la loi française, que les ONG ne manqueront pas d’utiliser comme levier contre les entreprises françaises les moins allantes, pourrait se révéler un mal pour un bien.

Un défi pour les ETI et PME

Elle devrait en effet donner à ces acteurs une longueur d’avance par rapport à leurs concurrents européens qui sont encore moins matures sur le concept de devoir de vigilance. Selon le cabinet EcoVadis qui a passé en revue près de 90 % de 5.400 acteurs concernés par la directive CS3D sur leur politique d’achats, la France se trouve au troisième rang des meilleurs élèves, derrière la Suède et le Danemark.

50,5 % des entreprises couvertes par la CS3D dans l’Hexagone devront procéder à des ajustements moyens à importants pour respecter ces nouvelles exigences réglementaires, contre seulement 44 % en Suède et 46 % au Danemark. A titre de comparaison, ce sont 65 % des grandes entreprises en Allemagne qui devront fournir un travail considérable pour se mettre en conformité.

Le chemin reste néanmoins très escarpé pour beaucoup, notamment pour les entreprises employant entre 1.000 et 5.000 personnes, qui n’étaient pas couvertes par la loi française, et pour leurs petits donneurs d’ordre qui devront aussi rentrer dans les clous de la directive. « La gestion des normes et réglementations représente déjà pour les entreprises de taille intermédiaire 28 milliards d’euros par an, soit 2,6 % de leur chiffre d’affaires, c’est colossal ! », s’exclame Frédéric Coirier, coprésident du Mouvement des ETI (METI) qui appelle au principe de proportionnalité pour ses membres.

Ninon Renaud

Publié le 19 juin 2024

LEGISLATEUR - REGULATEUR ET AMPLIFICATION DU RISQUE, rgpd

RGPD : « ON NE POURRA PAS DIRE QUE L’ON NE SAVAIT PAS. »

2 commentaires

Cette phrase empruntée à Jean-Philippe Riehl (source LI) m’a donné envie de revenir sur le 5ème anniversaire de l’application de RGPD, le 11 mars 2024, que j’avais laissé passer.

Le RGPD est ce que j’appelle un « amplificateur » de risque. Du risque de cyberfraude qui se traduit par le traitement illicite-la perte-le vol de données.

Ce risque arrive en tête en France et dans le monde du baromètre des risques d’Allianz 2024.

J’ai souvent écrit sur le RGPD :

  • Dans l’ouvrage co-écrit avec N.Dufour : Voir Chapitre I L’activité des Risk Managers, p117-122 Dans l’ouvrage : Aubry C., Dufour N., Risk Management. Organisation de la Fonction Risk Manager. Méthodes de gestion des risques, 2022
  • Sur ce blog, notamment en janvier 2021 et en 2020 en y consacrant plusieurs contenus. Cliquez sur ce lien pour y accéder ou allez sur le blog et retrouvez-les dans la rubrique « Législateur-Régulateur et amplification du risque »

Des conseils de lecture : deux rapports de la CNIL

A l’occasion de cet anniversaire, la CNIL propose deux bilans dont je vous conseille la lecture :

Ce mois-ci sur le BLOG :

Je vous propose en lien avec le titre de mon contenu de revenir sur l’actualité de ce risque / sur son l’impact à travers trois nouveaux contenus :

  • Son actualité / Paris 2024 : nouveau vol d’informations confidentielles à l’approche des JO ! / Utilisation des données personnelles et IA par Méta
  • Son impact / Une infographie des sanctions récentes : les géants sont sanctionnés mais pas que
  • Son impact / Non-respect du RGPD et concurrence déloyale

Vol d’informations à l’approche des JO

En l’espace d’une semaine, deux ordinateurs et du matériel informatique de personnes travaillant pour l’organisation des JO de Paris ont été volés.

Comme l’écrit Emmanuelle Hervé sur LI : « Au-delà du caractère plus ou moins sensible, voire confidentiel, des données pouvant être ainsi récupérées, ces vols, opportunistes ou ciblés, révèlent un manque de prise en compte des enjeux de sécurité et de protection de l’information ».

Paris 2024 : nouveau vol d’informations confidentielles à l’approche des JO !

Un ordinateur contenant les plans d’accès et de circulation de certains événements pendant les Jeux olympiques a été dérobé à l’intérieur de la voiture de la secrétaire générale de la direction de l’hôpital Avicenne.

© Paris2024 / Service de presse perpétuel – Une plainte a été déposée par la secrétaire générale de la direction de l’hôpital Avicenne.

Nouvelle ombre au tableau des JO. Quelques jours après le vol d’un ordinateur contenant des plans de sécurisation de la ville de Paris pour les Jeux olympiques, un autre larcin en lien avec l’événement a été observé, à Drancy cette fois-ci. D’après les informations de BFM TV révélées le 4 mars 2024, vendredi dernier, un autre ordinateur a été subtilisé. Une plainte a ainsi été déposée par la secrétaire générale de la direction de l’hôpital Avicenne. Cette dernière a vu sa voiture dégradée sur le parking d’un centre commercial. Elle a expliqué aux policiers qu’elle était en train de faire ses courses pendant à ce moment-là.

L’ordinateur volé était à usage professionnel. Malheureusement, il contenait des informations telles que les plans d’accès et de circulation de certains événements pendant les Jeux olympiques. Le commissariat est chargée des investigations. Dans le même temps, une enquête a été ouverte, indique BFM TV, relayant une information du parquet de Bobigny. Les chefs de vol avec dégradation ont été retenus. Le parquet fait savoir que « les informations relatives aux JO figurant dans l’ordinateur n’étaient pas confidentielles, et destinées à être publiques notamment sur les plans de circulation (logistique) de divers hôpitaux du département ».

Des données sensibles déjà subtilisées

Quelques jours plus tôt, le 26 février, un autre vol de données avait fait tache. Cette fois-ci, il s’agissait d’un ordinateur et de deux clés USB contenant des données dites « sensibles ». Elles concernaient la cybersécurité de la mairie de Paris pendant les Jeux olympiques. À la suite du dépôt de plainte d’un employé de la municipalité de la capitale, un homme avait été arrêté. Il a finalement été condamné à une peine de sept mois de prison.

Par Pierre Fougères Publié le 04/03/2024

ACTUS LES ECHOS – 6 juin 2024 – 8h02 – Données personnelles et IA : Meta visé par 11 plaintes en Europe

Le géant américain des réseaux sociaux Meta (Facebook, Instagram) est visé ce jeudi par des plaintes dans 11 pays européens pour un projet d’utilisation « illégale » des données personnelles de ses utilisateurs dans un programme d’intelligence artificielle, selon un communiqué de l’association Noyb.

Bête noire des géants de la tech, l’ONG viennoise demande aux autorités d’intervenir « en urgence » pour empêcher la mise en oeuvre de cette nouvelle politique de confidentialité, prévue le 26 juin. Si certaines données publiques sont déjà utilisées pour entraîner les modèles d’IA générative, Meta veut aller plus loin et « carrément prendre » l’ensemble des données de ses milliards d’utilisateurs collectées depuis 2007. Après ces 11 Etats, dont la France, la Belgique ou encore l’Allemagne, des procédures seront engagées dans les autres pays de l’UE « dans les prochains jours ».

Les Echos. 6 juin 2024

cyberisque-cybersécurité, RISQUES

A LIRE. LUCY. CYBERASSURANCE 2024.  

Laisser un commentaire

L’étude LUmière sur la CYberassurance (LUCY) 2024 vient d’être publiée par l’ AMRAE – Management des Risques et des Assurances de l’Entreprise.

Cette 4ème édition dépeint le marché français du Cyber.

Je viens de repartager sur LI le post de Diego Sainz. A LIRE

A LIRE OU RELIRE : tous les contenus / cyber risque et cyber assurances disponibles sur ce blog. Utilisez les mots clés cyber risque-cyber sécurité pour y accéder directement.


dispositifs de contrôle et plans d'actions, GESTION DES RISQUES

QUELQUES OUTILS DE GESTION DES RISQUES (3) : CARTOGRAPHIE REUSSIE, PLAN DE CONTINUITE D’ACTIVITE EFFICACE, AUTO-ASSURANCE ET CAPTIVE

Laisser un commentaire

Nous terminons notre séquence sur la présentation de quelques outils de gestion des risques avec les captives de réassurance. L’outil n’est pas récent. Le fait qu’il puisse être créé en France l’est.

Combien ?

Alors que le marché de l’assurance reste tendu, une quinzaine d’entreprises ont créé leur captive de réassurance en France.

  • En 2023, 5 nouvelles captives ont reçu l’agréement de l’Autorité de Contrôle Prudentiel et de Résolution (ACPR) :

Naval Group ==> Naval Group Ré
Ligue de Football Professionnelle ==> LFP Ré
Limagrain ==> Sorealim
Rubis Energie ==>Rd3A
Goupe Avril ==> Avril Re

Elles portent à 15 le nombre des captives de réassurances en France.

  • En décembre 2023, Marie-Caroline Carrère (Argus de l’Assurance) comptabilisait six autres entreprises encore dans l’attente d’un agrément de l’ACPR pour leur captive de réassurance :

Fnac Darty ==> Fnac Darty Captive Solutions
Lucien Barrière ==> SRIGLB (Société de réassurance interne du groupe Lucien Barrière)
Chantier de l’Atlantique ==> CDA Reinsurance
Groupe La poste ==> Assuraposte Ré
Vivendi ==> Soreviv
Orange ==> Orange Réassurance

  • Cette tendance se poursuit en 2024.

Objectifs ?

Les objectifs affichés de cet outil : « s’auto-assurer », « être notre propre assureur », « et donc mutualiser nos risques dans le temps avec suffisamment de réserves de Fonds Propres » ; « financer notre gestion des risques » ; « mieux piloter nos risques. »

En savoir plus ?

A lire :

👉 L’article de Brigitte Bouquot, « Captives en France : les obstacles sont levés » dans Atout Risk Manager, été 2023 ; on y trouve une définition, le dispositif, quelques avantages et inconvénients.

👉 Le dossier « captives : SEB et Bonduelle choisissent la France » dans Atout Risk Manager, automne 2021 ; on y trouve le retour d’expérience de ces deux belles ETI françaises sur la création de leurs captives lors de l’été 2021 et un encart sur les principales étapes de la création.

👉 L’article « Assurances & risques. Quelles solutions ? Captives. Meilleure compréhension des risques. Dialogue du risk manager et autres parties prenantes avec les assureurs » sur le blog.

A écouter :  

👉 Une vidéo sur Youtube, « Nous sommes satisfaits de notre captive » ; Anne-Claire Péchoux Lokoto, responsable juridique et directrice des assurances du Groupe SEB, invitée de News Assurances Pro, revient sur la gestion des risques au sein de la société, son approche des sujets de prévention mais également sur la création de la captive du groupe. 

approche socio-cognitive: rex, apprentissage, dispositifs de contrôle et plans d'actions, GESTION DES RISQUES

QUELQUES OUTILS DE GESTION DES RISQUES (2). AUJOURD’HUI, LE PLAN DE CONTINUITE D’ACTIVITE (PCA). COMMENT ELABORER UN PCA EFFICACE. ETAPES ET APPROCHE TECHNIQUE ET SOCIO COGNITIVE.

Laisser un commentaire

En période de crise sanitaire, les entreprises ont constaté avec effroi leur impréparation (voir blog avril 2020). Anticiper toute perturbation pour y laisser le moins de plumes possible : voilà l’objectif d’un système de management de la continuité d’activité. Les organisations qui avaient un Plan de Continuité d’Activité sont celles que la crise sanitaire a le moins impacté. La rédaction d’un Plan de Continuité d’Activité (PCA) est une étape cruciale pour toute entreprise.

Mais comment faire pour qu’il soit efficace ?

Je vous propose un très bon article synthétique et pragmatique proposé dans Crise & Résilience Magazine. Je remercie Alexandre Fournier de m’avoir donné son accord pour le publier dans mon blog.

Vous trouverez dans cet article les étapes clés de l’élaboration d’un PCA.

Vous y retrouverez, comme pour une cartographie réussie, l’importance qu’il y a pour les gestionnaires (et la valeur ajoutée) de déployer une méthode de gestion des risques et des outils qui se soient pas uniquement quantitatifs et de type contrôle.

Je qualifie cette approche de technique et socio-cognitive. Je vous en propose un rappel ci-dessous.

En savoir plus sur une gestion des risques technique et socio-cognitive.

Pourquoi cette approche ?

Une approche à la fois technique et socio-cognitive permet de passer d’une logique de contrôle à une logique de soutien ; elle rejoint la mise en place du « risk management intelligent » préconisé par Power (2004, 2007, 2009, 2016). Cette approche permet d’émanciper les managers du déploiement d’informations sous la forme « d’outils formalisés, normés… » qu’il décrit comme une « addition de couches de pseudo confort donnant une illusion de confort. » (Voir Chapitre I L’activité des Risk Managers, p117-122 Dans l’ouvrage : Aubry C., Dufour N., Risk Management. Organisation de la Fonction Risk Manager. Méthodes de gestion des risques, 2022).

A lire et à relire sur le blog . L’approche en elle-même :

Quels outils ?

Elle passe par la mise en place d’outils hors contrôle tels que le e-learning, le retour d’expérience, les formations, la responsabilité des opérationnels, l’appropriation des outils… Ils permettent d’avoir l’appui des opérationnels et d’acquérir une légitimité cognitive (celle qui consiste à s’ancrer dans l’inconscient collectif pour être compris par les parties prenantes, devenir incontournable) ; elle est le « graal » de la légitimité.

A lire et à relire sur le blog. L’approche appliquée à :

LES ÉTAPES CLÉS DE L’ÉLABORATION D’UN PCA

L’élaboration d’un Plan de Continuité des Activités (PCA) efficace implique plusieurs étapes clés. Chaque étape contribue à construire un plan robuste et adaptable, capable de guider une entreprise à travers des crises de toute nature.

1. Identification des risques

Le point de départ de tout PCA est l’identification des risques. Cette étape implique une analyse approfondie des menaces potentielles qui pourraient perturber les activités de l’entreprise. Ces risques peuvent être internes, comme des problèmes opérationnels ou technologiques, ou externes, comme des catastrophes naturelles ou des changements réglementaires. L’identification des risques permet de cerner les domaines où l’entreprise est la plus vulnérable et nécessite une attention particulière dans le plan de continuité.

2. Analyse d’Impact sur l’Activité (AIA)

Après l’identification des risques, l’étape suivante est l’Analyse d’Impact sur l’Activité (AIA). Cette analyse évalue les conséquences potentielles des interruptions sur les différentes fonctions de l’entreprise. L’AIA aide à déterminer quels processus et fonctions sont critiques pour la survie et le fonctionnement continu de l’entreprise. Elle permet également de fixer des priorités pour la reprise et d’allouer de manière adéquate les ressources lors de la mise en œuvre du PCA.

3. Définition des stratégies de continuité

Une fois les risques identifiés et leurs impacts analysés, l’étape suivante est de développer des stratégies de continuité adaptées. Ces stratégies varient en fonction de la nature et de la taille de l’entreprise, ainsi que des risques spécifiques identifiés. Elles peuvent inclure la mise en place de sites de travail alternatifs, l’élaboration de plans de communication d’urgence, ou la mise en place de systèmes de résilience informatique, de plan de reprise informatique, de plan de gestion de crise. L’objectif est de garantir que les opérations essentielles de l’entreprise peuvent continuer ou être rapidement rétablies en cas de perturbation.

4. Planification de la reprise

La planification de la reprise est un élément essentiel du PCA. Cette phase implique la création de plans détaillés pour la reprise des opérations après un incident. Cela comprend l’élaboration de procédures pour la reprise des systèmes informatiques, la gestion de la chaîne d’approvisionnement, et la communication avec les parties prenantes. Les plans de reprise doivent être pratiques, réalisables, et faciles à comprendre pour tous les employés concernés.

MEILLEURES PRATIQUES POUR UN PCA EFFICACE

La création d’un Plan de Continuité des Activités (PCA) est une étape vitale pour toute entreprise, mais pour qu’il soit véritablement efficace, certaines meilleures pratiques doivent être suivies. Ces pratiques garantissent que le PCA ne soit pas seulement un document théorique, mais un outil opérationnel et dynamique.

Engagement de la direction

Un PCA efficace nécessite un engagement fort de la part de la direction de l’entreprise. La haute direction doit non seulement approuver le plan, mais aussi activement participer à son élaboration et à sa mise en œuvre. Cet engagement se traduit par la mise à disposition des ressources nécessaires, le soutien à la formation et aux exercices de test, et l’intégration du PCA dans la culture et les processus de l’entreprise.

Communication et formation

Une communication efficace et une formation continue sont essentielles pour assurer que tous les employés comprennent le PCA et leur rôle en cas de crise. Cela inclut la diffusion régulière d’informations sur le PCA, la conduite d’exercices de simulation, et la mise à jour régulière des procédures. La formation ne doit pas être un événement ponctuel, mais un processus continu qui tient compte de l’évolution des risques et des changements dans l’entreprise.

Tests et révisions régulières

Un PCA doit être testé et révisé régulièrement pour s’assurer qu’il reste pertinent et efficace. Cela implique la réalisation d’exercices de simulation pour tester les différents aspects du plan, l’analyse des retours d’expérience après chaque exercice ou incident réel, et la mise à jour du plan pour refléter les nouvelles informations et les changements dans l’environnement de l’entreprise.

Intégration dans les opérations quotidiennes

Pour être efficace, un PCA doit être intégré dans les opérations quotidiennes de l’entreprise. Cela signifie que la continuité des activités doit être prise en compte dans toutes les décisions stratégiques, les processus opérationnels, et les projets de développement. L’intégration du PCA dans la routine quotidienne aide à garantir que le plan est toujours à jour et que les employés sont constamment conscients de leur rôle en cas de crise.

INTÉGRATION DU PCA DANS LA CULTURE D’ENTREPRISE

L’efficacité d’un Plan de Continuité des Activités (PCA) repose fortement sur son intégration dans la culture d’entreprise. Un PCA ne doit pas être perçu comme une série de procédures isolées ou un document à consulter uniquement en cas d’urgence, mais comme un élément intégral de la stratégie et des opérations quotidiennes de l’entreprise.

Sensibilisation et responsabilisation

La première étape pour intégrer le PCA dans la culture d’entreprise est de sensibiliser et responsabiliser tous les employés. Cela signifie les informer sur l’importance de la continuité des activités et leur rôle spécifique dans le PCA. Des sessions de formation régulières, des bulletins d’information, et des discussions ouvertes peuvent aider à renforcer la sensibilisation et à encourager l’engagement de chacun.

Exemples et études de cas

Utiliser des exemples réels et des études de cas de réussites et d’échecs en matière de PCA peut être très instructif. Cela permet non seulement de mettre en évidence l’importance du PCA, mais aussi de montrer concrètement comment il fonctionne en pratique. Des études de cas internes ou d’autres entreprises offrent des scénarios réels et aident à illustrer les bonnes pratiques et les erreurs à éviter.

Mise en pratique régulière

Pour qu’un PCA soit vraiment intégré dans la culture d’entreprise, il doit être mis en pratique régulièrement. Cela peut se faire par le biais d’exercices de simulation, de tests des systèmes de communication en cas de crise, ou d’examens des plans de reprise après sinistre. Ces activités aident non seulement à garantir que le PCA est toujours actuel et efficace, mais elles renforcent également la familiarité du personnel avec les procédures du PCA.

Valorisation des Contributions

Reconnaître et valoriser les contributions des employés à la continuité des activités renforce l’importance du PCA. Cela peut se traduire par des récompenses pour les initiatives innovantes en matière de continuité des activités, des mentions dans les communications internes, ou des opportunités de développement professionnel liées à la gestion de crise et à la résilience.

CONCLUSION

L’élaboration et la mise en œuvre d’un Plan de Continuité des Activités (PCA) efficace sont des démarches essentielles pour toute entreprise visant à assurer sa résilience face aux crises et aux imprévus. Comme nous l’avons exploré dans cet article, un PCA robuste nécessite une planification minutieuse, un engagement ferme de la direction, et une intégration profonde dans la culture de l’entreprise.

La préparation à des événements inattendus ne se limite pas à la création d’un document de procédures ; elle implique une sensibilisation continue, une formation régulière, et des tests pratiques pour s’assurer que le plan reste pertinent et opérationnel. L’intégration du PCA dans les opérations quotidiennes et la culture d’entreprise renforce non seulement la capacité de l’entreprise à répondre rapidement en cas de crise, mais contribue également à son développement stratégique et à sa croissance à long terme.

Un PCA efficace est un investissement dans la stabilité et l’avenir de votre entreprise. Il représente une assurance contre les perturbations, protège les actifs et les relations d’affaires, et renforce la confiance auprès des clients, des partenaires et des employés. Dans un monde en constante évolution, où les risques et les incertitudes sont omniprésents, la continuité des activités est plus cruciale que jamais.

Nous espérons que cet article vous a fourni des orientations précieuses pour l’élaboration de votre propre PCA. Rappelez-vous que la clé de la réussite réside dans la préparation proactive, l’adaptabilité, et l’engagement continu envers la résilience organisationnelle.

Crise & Résilience Magazine. Novembre 2023.

approche socio-cognitive: rex, apprentissage, GESTION DES RISQUES, quantification-cartographies

ZOOM SUR QUELQUES OUTILS DE GESTION DES RISQUES : CARTOGRAPHIE REUSSIE, PLAN DE CONTINUITE D’ACTIVITE EFFICACE, AUTO-ASSURANCE ET CAPTIVE

Laisser un commentaire

Les outils de gestion des risques évoluent. Zoom pour les contenus à venir sur trois outils : la cartographie, le PCA, l’auto-assurance.

UNE CARTOGRAPHIE REUSSIE

J’ai souvent parlé de la cartographie des risques dans mes travaux, dans l’ouvrage co-écrit avec N.Dufour, dans le blog. Cartographie de risques « corporate », par BU…Cartographie de risques spécifiques, cartographie des risques de corruption (voir blog, juillet 2020), cartographie collaborateurs clés (voir chapitre 3 de notre ouvrage, p.172). Certains Risk Managers travaillent à des cartographies d’opportunités et des cartographies prédictives.

UN OUTIL « CLASSIQUE »

C’est un outil « classique » que je présente dans tous mes cours.

La démarche est une démarche « classique » de construction d’une cartographie (voir Chapitre 4, Méthodes, démarches et outils des Risk Managers de notre ouvrage, p.127). Les grandes étapes sont :

  • d’identifier les risques, passés, présents et émergents ;
  • d’évaluer le niveau de criticité des risques en tenant compte de leur probabilité de survenance et de leur impact ;
  • de hiérarchiser les risques ;
  • d’identifier les zones de risques insuffisamment couvertes par le dispositif de maîtrise ;
  • de mettre en place des plans d’actions et des outils de reporting.

La démarche présente certaines spécificités propres aux risques de corruption.

CONSEILS ET CARACTERISTIQUES

A l’heure des partiels pour les M1 et M2, je formule quelques certains conseils pour réussir une cartographie des risques.  

  • Se positionner du point de vue de l’entreprise
  • Faire preuve d’humilité : ce ne sont que les risques que vous percevez
  • Suivre la méthode étape par étape
    • Mobiliser une approche de la gestion des risques et des outils qui ne soient pas exclusivement quantitatifs et de type contrôle avec :
  • une connexion avec les opérationnels et les processus / l’implication de la direction générale / une collaboration avec les autres fonctions pour mettre en place la démarche
  • des ateliers et entretiens individuels pour identifier et évaluer les risques ;
  • une responsabilisation des acteurs et de la proactivité pour les analyser et les suivre.

Je reprends les caractéristiques d’une cartographie réussie sous la forme de la figure ci-dessous.

Vos cartographies seront ainsi des outils de pilotage – évolutifs et vecteurs d’innovation -.

MISE A JOUR D’UNE CARTOGRAPHIE

Une fois votre cartographie faite, pensez à la mettre à jour. HUIT POINTS.

« Mise à jour d’une #cartographie des risques.

J’ai eu à réaliser la mise à jour d’une cartographie de risque pour une structure et je viens vous partager les étapes qu’on a suivies :

0️⃣ Etablir un chronogramme de toutes nos actions jusqu’à la présentation de la cartographie
1️⃣ Faire un mail d’information à toutes les directions pour leur notifier que nous lançons la mise à jour de la cartographie
2️⃣ Recenser tous les processus et activités de la structure, et les affecter à toutes les directions qui interviennent dans leur réalisation
3️⃣ Informer les directions des affectations réalisées afin que d’une part elles puissent les amender ou les valider, et d’autre part elles indiquent les personnes ressources auprès desquelles nous réaliserons nos entretiens
4️⃣ Envoyer un mail à chaque personne ressources contenant le créneau d’entretien, et les activités à traiter
5️⃣ Réaliser des entretiens préliminaires d’explication avec chaque personnes ressources pour lui expliquer ce qui est attendu de lui (notre méthode consistait à partir d’une auto-évaluation des risques par les acteurs; il fallait donc leur présenter le livrable attendu et les former sur les risques et leur signification)
6️⃣ Réaliser des entretiens de validation des travaux d’auto-évaluation des risques avec les personnes ressources; et faire valider les conclusions de ces entretiens par le directeur du département.
7️⃣ Réaliser des agrégations des risques et aboutir à la matrice, puis à la cartographie.
8️⃣ Elaborer un rapport qui présente en plus de la cartographie des risques, les points suivants :
°Les évolutions par rapport à la cartographie précédente;
°Les activités les plus à risques;
°Les risques majeurs globaux et par activités;
°Les plans de maitrise des risques majeurs;
°Les DMR (dispositif de maitrise de risques) les moins efficaces.
Axel Emmanuel ADINGUERA sur LI.

élargissement du domaine du risque, communication de crise, dispositifs de contrôle et plans d'actions, GESTION DES RISQUES, Non classé, réputation-image, RISQUES

RISQUE DE REPUTATION : GUERLAIN et LES AUTRES…APRES L’ANALYSE, FAIRE UN RETOUR D’EXPERIENCE et des PRECONISATIONS de Gestion des risques et de Communication de crise.

Laisser un commentaire

L’atteinte à la réputation de Guerlain amène à faire des préconisations pour une meilleure gestion des risques et une meilleure communication de crises, créatrices de valeur.

DES CONSEILS DE LECTURE :

  • Du côté des plans d’actions (étape 4 de la démarche de gestion des risques : maîtrise des risques)

Sur le blog :

L’importance de l’anticipation et des exemples de plans d’actions pour mieux gérer les crises

  • Du côté de la communication de crise (ce qui arrive après…)

Pour moi, la gestion de crises est ce qui arrive une fois que le risque s’est réalisé – une fois qu’il est trop tard pour le RM. Un RM me disait : « pour moi il faut faire très attention, la plupart du temps, la gestion de crise, la communication de crise ne fait pas partie des descriptions de postes, c’est un tout autre métier. La gestion de risques est vraiment la préparation de tout avant, mais lors des événements se sont des spécialistes opérationnels qui prennent le relais, et surtout en communication de crise…»

Pour autant, revenir sur la gestion de crises a sa place dans un ouvrage consacré à la Fonction Risk Manager et dans un blog consacré aux risques, à la gestion des risques et à la Fonction Risk Manager tant les sujets sont proches voire reliés.

Dans l’ouvrage :

Chapitre I : Des exemples de gestion de crises et communications de crise « ratées ». Dans notre ouvrage, je vous propose les exemples de Total Raffinerie de la Mède, AF-KLM, Lidl, Dove, Lactalis ou encore Nike qui comptent parmi les plus médiatiques.

Chapitre IV, p.190-213 : Méthodes et outils face à l’urgence : gestion de crise.

Sur le blog :

L’interview par E. Hervé du directeur de la communication de Bouygues sur sa vision de la communication en temps de crise. La proposition d’une autre forme de communication.

  • Du côté de la création de valeur apportée par la gestion des risques.

Un article intéressant qui questionne l’analyse du Bad Buzz autour de GUERLAIN sur le rôle du marketing : pour un marketing qui apporte de la valeur à tous. A « dupliquer » ou prolonger sur une gestion des risques créatrice de valeur ?

Article de Florence Euzéby : « Quand « l’effet Streisand » joue à plein contre Guerlain et amène à questionner le rôle du marketing », The Conversation, 29 janvier, 2024.