Archives pour la catégorie approche socio-cognitive: rex, apprentissage

Gestion de Crises (4) Des solutions. 3ème opus : présentation d’un outil, le RETEX.

En guise d’article de conclusion au thème « gestion de crises » que j’aborde depuis trois semaines, un article sur le retour d’expérience également appelé RETEX. Emmanuelle Hervé nous y explique que si la plupart des entreprises sont frileuses à mettre en pratique le retour d’expérience, il s’agit pourtant d’une méthode précieuse, qui, empruntée à l’armée, permet d’apprendre de ses erreurs

Pour aller plus loin, vous pouvez :

  • lire p.94-99, Chapitre 2, « La Fonction Risk Manager. Organisation, Méthodes et Positionnement. »

Nous y présentons le RETEX comme est un outil de gestion des risques « hors contrôle ».

Comme d’autres outils de gestion des connaissances tels que l’apprentissage, l’analyse rétrospective d’accidents et d’erreurs, il permettra la mise en place d’une démarche de gestion des risques globale, à la fois technique et socio-cognitive. Il permettra aux Risk Managers d’avoir l’appui des opérationnels et d’acquérir une légitimité cognitive.

https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

  • écouter le webinaire « Destination RETEX » lors duquel Emmanuelle Hervé et ses invités Loïc Finaz et Sébastien Duflot, amiral et pilote, reviennent sur cet outil.  
    https://www.youtube.com/watch?v=MQzvHxaL3Rc

Le RETEX

De la crise sanitaire aux cyberattaques, les entreprises ont été sujettes ces derniers mois à une résurgence de crises en leur sein. Dans ce contexte, il est primordial pour l’organisation d’effectuer une mise au point sur la réponse apportée à une crise, avant d’entamer une nouvelle page. Organiser un « retour d’expérience », aussi appelé RETEX avec ses équipes, est une étape importante afin d’effectuer un travail d’introspection, observer ce qui a été fait et faire preuve de résilience.

RETEX, de quoi s’agit-il ?

Le RETEX est une démarche visant à mesurer l’efficacité de la mise en œuvre du processus de gestion de crise et des messages délivrés. Elle permet de : repérer les points positifs et de capitaliser sur ceux-ci ; et d’identifier des axes d’améliorations et les actions à mettre en place pour les corriger. Cette démarche est difficile à conduire et demande courage et honnêteté. Son objectif est d’aligner la vision de la crise entre tous les membres de l’équipe, de reconnaitre le travail de chacun, les compétences des collaborateurs pendant la crise et de garder une trace écrite de tous ces enseignements pour qu’elle puisse être utilisée lors de la prochaine crise et surtout par une autre équipe.

Des professionnelles du RETEX doivent vous accompagner lors de votre processus de reconstruction après une crise :  le RETEX étant l’une des étapes pour y parvenir, il est une procédure recommandée et même indispensable, à effectuer après une crise. Il permet de renforcer les liens entre les partenaires, de libérer la parole des employés, de mesurer l’efficacité des actions qui ont été entreprises et d’identifier les points négatifs afin de proposer les axes d’amélioration et d’en déduire un plan d’action. Il s’agit d’une étape clef dans la constitution d’une culture de la gestion de crise au sein de son organisation, à effectuer après toute crise, réussie ou non.

On va en fait capturer l’expérience acquise par les personnes pendant la crise et la transférer dans l’organisation afin d’en augmenter sa résilience. L’idée est de rendre l’organisation indépendante du savoir-faire intuitae personae.

Le RETEX ne s’improvise pas !

C’est un travail structuré, mais qui n’est pas exempt de difficultés. Une gestion de crise peut être influencée par certains biais cognitifs tels que :

  • Le modèle mental (avoir la même réaction face à toutes ses crises)
  • Le biais de croissance exponentielle (s’éloigner de la prise de conscience de la crise en minimisant une situation)
  • L’endo-groupe, apprendre de l’expérience des autres (penser que la crise qui arrive aux autres ne peut pas nous atteindre et la sous-estimer)
  • Le biais d’excès de confiance (faire confiance à nos estimations et s’y tenir malgré qu’on puisse les surestimer ou les sous-estimer..
  • Le biais social ou le biais d’imitation (être influencé par le comportement des uns et des autres)

Les personnes au sein d’une entreprise ayant eu à gérer une crise, ont donc pu être influencées par l’un ou plusieurs de ces biais et ne peuvent pas objectivement effectuer un retour d’expérience. La richesse d’un RETEX viendra de la confrontation des perceptions de la crise et de la réponse apportée, la nuance se situera dans les contradictions, il faut pour cela multiplier les points de vue : interroger les gestionnaires de crise mais également les « utilisateurs finaux », les salariés, comparer avec les productions écrites, etc.

Pour ce faire, mieux vaut faire appel à des professionnels de la gestion de crise pour vous aider (ils auront ainsi un œil extérieur et bienveillant) et vous garantir que l’exercice sera bien perçu par vos collaborateurs et vos parties prenantes.

L’équipe RETEX EH&A est ainsi régulièrement consultée comme acteur extérieur pour effectuer cet exercice. Disponible pour répondre à vos besoins, nous collaborons avec des petites et grandes entreprises dans l’élaboration de leur stratégie de réponse à la crise.

Emmanuelle Hervé

21 avril 2021  

Télétravail, risques et plans d’actions ou quels plans d’actions pour gérer les risques liés au télétravail et selon quelle approche ? (2)

✴ Une gestion des risques technique et socio-cognitive.

Je reviens avec l’extrait ci-dessous d’une chronique d’Olivier Cimelière sur l’idée que les risques psycho-sociaux liés au télétravail comme tous les risques ne sont pas seulement un « problème » technique mais également un « problème » de facteur humain.

Le deuxième article ciblé sur la cyber-malveillance (surexposition au risque) présenté par Caroline Diard –  enseignant-chercheur en management des RH et Droit, ESC Amiens – comme l’un des risques liés au télétravail propose 12 recommandations de sécurité pour prévenir ce risque. Dix sont techniques. Deux sont socio-cognitives.

Une approche à la fois technique et socio-cognitive pour passer d’une logique de contrôle à une logique de soutien rejoint la mise en place du « risk management intelligent » préconisés par Power (2004, 2007, 2009, 2016). Cette approche permet d’émanciper les managers du déploiement d’informations sous la forme « d’outils formalisés, normés… » qu’il décrit comme une « addition de couches de pseudo confort donnant une illusion de confort. » (p.66 Aubry C., Dufour N., La Fonction Risk Manager).

✴ Quelles sont les grandes lignes et les outils pour que les risk-managers français mettent en place le « risk management intelligent » préconisé par Power ?

La mise en place d’outils hors contrôle tels que le e-learning, le retour d’expérience, les formations, la responsabilité des opérationnels, l’appropriation des outils…permettent d’avoir l’appui des opérationnels et d’acquérir une légitimité cognitive (celle qui consiste à s’ancrer dans l’inconscient collectif pour être compris par les parties prenantes, devenir incontournable) ; elle est le « graal » de la légitimité.

✴ Nous évoquons cette approche technique et socio-cognitive et ces outils dans nos travaux (Aubry et Montalan, 2007) et dans l’ouvrage « La Fonction Risk Manager. Organisation, méthodes et positionnement (2019, p.96) »

https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

✴ Sur le blog, vous pouvez lire ou relire sur cette approche :
  • l’article « Yves Rocher et les NeuroSciences ». Archives du blog mai 2020
  • l’article relatif à L’Organisation Apprenante. Archives du blog décembre 2020.

Télétravail et déconfinement : l’humain reste le pivot essentiel

Télétravail n’est pas martingale managériale

C’est un fait que le coronavirus aura contribué à plus nettement matérialiser le recours au télétravail. Les mentalités à l’égard de celui-ci évoluent. Du côté des dirigeants, il n’est plus forcément perçu comme une subtile excuse pour tirer au flanc, d’autant que le présentéisme au bureau engendre aussi bien des excès. Du côté des collaborateurs, il est synonyme d’un équilibre de vie plus flexible, entre obligations professionnelles et tâches domestiques, tout en ayant un cadre de travail délibérément choisi plutôt qu’un flex office impersonnel ou un open space plein de vacarme. Pour autant, le travail à distance n’est pas une martingale managériale. Si le dirigeant y consent, il doit aussi impulser les conditions de son efficience collective.

La première étape, basique mais incontournable (et déjà source de bougonneries), est le matériel du collaborateur. Autant au bureau, il est relativement simple de disposer d’infrastructures et de terminaux performants, autant la distance implique des obligations très concrètes à traiter. L’enquête de Deskeo le rappelle. 78% des personnes interrogées ne possèdent pas les équipements adéquats comme l’imprimante ou l’écran ergonomique. 66% doivent aussi se débattre avec un débit Internet parfois capricieux.

Collaboration et sécurité avant tout

Deux autres dimensions sont absolument cruciales : le choix d’un outil collaboratif qui conviendra à la majorité des salariés en télétravail et la garantie de la cybersécurité des échanges . Travailler à distance ne signifie pas travailler en silo, mais être au contraire capable de se synchroniser avec ses collègues et suivre les avancées d’un projet. Sur le marché, il existe quantité de solutions éprouvées mais attention à tenir compte de la maturité digitale des personnes. Un outil trop complexe à manier peut dérouter.

Enfin, la sécurisation est indispensable. A cet égard, l’engouement pour Zoom, la solution de visioconférence, a mis en exergue les failles de sécurité qui allaient de pair avec des intrusions ou des vols de données. Conséquence : tout le monde dans l’entreprise doit être extrêmement au clair et au carré avec ces points fondamentaux. Sans oublier évidemment le respect de la loi applicable en la matière.

La com’ interne comme lien essentiel

L’autre challenge induit par le télétravail, quelquefois largement sous-estimé par les adeptes fraîchement convertis, est la préservation du lien humain et de la culture d’entreprise. C’est là où la communication interne a un rôle clé à jouer pour éviter qu’au fil du temps, les interactions ne se réduisent qu’à des chats sur la messagerie interne et quelques séances collectives en visio pour entretenir a minima l’esprit d’équipe et le sentiment d’appartenance à la communauté qu’est l’entreprise.

Plus que jamais, des espaces fédérateurs doivent être mis en place et animés régulièrement comme l’Intranet – mais pas que – qui peut ainsi distiller des témoignages terrain, partager des bonnes pratiques, présenter des métiers et même offrir des canaux de détente comme des mini-compétitions de jeux en ligne ou des forums de discussion thématiques.

Avec le travail à distance, il ne faut pas perdre de vue que la précieuse machine à café n’est plus totalement en mesure d’être cet indispensable lieu de brassage du corps social de l’entreprise. La virtualisation des discussions peut aider à décloisonner mais elle peut aussi dématérialiser l’essence même d’une organisation humaine. C’est sans doute un paradoxe mais le télétravail requiert aussi de la proximité physique régulière. Là aussi, les possibilités sont variées : réunions sur un lieu unique, séminaires, team building, repas en commun, etc. Sinon, trop de distance tue la quintessence de l’entreprise.

Olivier Cimelière est directeur adjoint ESJ Pro Entreprise. Mai 2021

Recommandations de sécurité informatique pour le télétravail en situation de crise

En complément des mesures générales de vigilance cybersécurité publiées sur la crise du CORONAVIRUS – COVID-19, cet article décrit les conseils de Cybermalveillance.gouv.fr pour les employeurs afin de limiter les risques de sécurité informatique liés au télétravail.

12 recommandations de sécurité liées au télétravail pour les employeurs

Pour faire face à la crise et au confinement imposé par l’épidémie du CORONAVIRUS – COVID-19 les employeurs, entreprises, associations, administrations, collectivités se sont vues devoir mettre en place ou développer dans l’urgence le télétravail pour maintenir, au moins a minima,  leurs activités essentielles. L’ouverture vers l’extérieur du système d’information de l’entreprise peut engendrer des risques sérieux de sécurité qui pourraient mettre à mal l’entreprise, voire engager sa survie en cas de cyberattaque.
Voici 12 recommandations à mettre en œuvre pour limiter au mieux les risques :

  1. Définissez et mettez en œuvre une politique d’équipement des télétravailleurs : Privilégiez autant que possible pour le télétravail l’utilisation de moyens mis à disposition, sécurisés et maîtrisés par l’entreprise. Lorsque ce n’est pas possible, donnez des directives d’utilisation et de sécurisation claires aux employés en ayant conscience que leurs équipements personnels ne pourront jamais avoir un niveau de sécurité vérifiable (voire sont peut-être déjà compromis par leur usage personnel).

  2. Maîtrisez vos accès extérieurs : Limitez l’ouverture de vos accès extérieurs ou distants (RDP) aux seules personnes et services indispensables, et filtrer strictement ces accès sur votre pare-feu. Cloisonnez les systèmes pour lesquels un accès à distance n’est pas nécessaire pour les préserver, surtout s’ils revêtent un caractère sensible pour l’activité de l’entreprise.

  3. Sécurisez vos accès extérieurs : Systématisez les connexions sécurisées à vos infrastructures par l’emploi d’un « VPN » (Virtual Private Network ou « réseau privé virtuel » en français). Outre le chiffrement de vos connexions extérieures, ces dispositifs permettent également de renforcer la sécurité de vos accès distants en les limitant aux seuls équipements authentifiés. La mise en place sur ces connexions VPN d’une double authentification sera également à privilégier pour se prémunir de toute usurpation.

  4. Renforcez votre politique de gestion des mots de passe : Qu’il s’agisse des mots de passe des utilisateurs en télétravail, mais aussi de ceux en charge du support informatique, les mots de passe doivent être suffisamment longs, complexes et uniques sur chaque équipement ou service utilisé. La majorité des attaques est due à des mots de passe trop simples ou réutilisés. Au moindre doute ou même en prévention, changez-les et activez la double authentification chaque fois que cela est possible. En savoir plus.

  5. Ayez une politique stricte de déploiement des mises à jour de sécurité : Et ce, dès qu’elles sont disponibles et sur tous les équipements accessibles de votre système d’information (postes nomades, de bureau, tablettes, smartphones, serveurs, équipements réseaux ou de sécurité…) car les cybercriminels mettent peu de temps à exploiter les failles lorsqu’ils en ont connaissance. Un défaut de mise à jour d’un équipement est souvent la cause d’une intrusion dans le réseau des entreprises. En savoir plus.

  6. Durcissez la sauvegarde de vos données et activités : Les sauvegardes seront parfois le seul moyen pour l’entreprise de recouvrer ses données suite à une cyberattaque. Les sauvegardes doivent être réalisées et testées régulièrement pour s’assurer qu’elles fonctionnent. Des sauvegardes déconnectées sont souvent indispensables pour faire face à une attaque destructrice par rançongiciel (ransomware). En outre, il convient également de s’assurer du niveau de sauvegarde de ses hébergements externes (cloud, site Internet d’entreprise, service de messagerie…) pour s’assurer que le service souscrit est bien en adéquation avec les risques encourus par l’entreprise. En savoir plus.

  7. Utilisez des solutions antivirales professionnelles : Les solutions antivirales professionnelles permettent de protéger les entreprises de la plupart des attaques virales connues, mais également parfois des messages d’hameçonnage (phishing), voire de certains rançongiciels (ransomware). Utiliser des solutions différentes pour la protection des infrastructures et pour les terminaux peut s’avérer très complémentaire et donc démultiplier l’efficacité de la protection dans un principe de défense en profondeur.

  8. Mettez en place une journalisation de l’activité de tous vos équipements d’infrastructure : Ayez une journalisation systématique et d’une durée de rétention suffisamment longue de tous les accès et activités de vos équipements d’infrastructure (serveurs, pare-feu, proxy…), voire des postes de travail. Cette journalisation sera souvent le seul moyen de pouvoir comprendre comment a pu se produire une cyberattaque et donc de pouvoir y remédier, ainsi que d’évaluer l’étendue de l’attaque.

  9. Supervisez l’activité de vos accès externes et systèmes sensibles : Cette supervision doit vous permettre de pouvoir détecter toute activité anormale qui pourrait être le signe d’une cyberattaque, tels une connexion suspecte d’un utilisateur inconnu, ou d’un utilisateur connu en dehors de ses horaires habituels, ou encore un volume inhabituel de téléchargement d’informations…

  10. Sensibilisez et apportez un soutien réactif à vos collaborateurs en télétravail : Donnez aux télétravailleurs des consignes claires sur ce qu’ils peuvent faire ou ne pas faire et sensibilisez les aux risques de sécurité liés au télétravail. Cela doit se faire avec pédagogie pour vous assurer de leur adhésion et donc de l’efficacité des consignes. Les utilisateurs sont souvent le premier rempart pour éviter, voire détecter les cyberattaques. Utilisez au besoin nos supports et notre kit de sensibilisation ou encore les recommandations aux télétravailleurs décrites supra. Ces utilisateurs coupés de leur entreprise ont également besoin d’un soutien de qualité et réactif pour éviter toute dérive.

  11. Préparez-vous à affronter une cyberattaque : L’actualité démontre qu’aucune organisation, quelle que soit sa taille, n’est à l’abri d’une cyberattaque. Il faut donc admettre que cela n’arrive pas qu’aux autres. La question n’est donc plus de savoir si on va être victime d’une cyberattaque, mais quand on le sera. Il faut donc s’y préparer. L’évaluation des scénarios d’attaques possibles (cf. menaces supra) permet d’anticiper les mesures à prendre pour s’en protéger et de définir également la conduite à tenir pour réagir quand elle surviendra : plans de crise et de communication, contractualisation avec des prestataires spécialisés pour recourir à leur assistance…

  12. Dirigeants : impliquez-vous et montrez l’exemple ! La sécurité est toujours une contrainte qu’il faut accepter à la mesure des enjeux qui peuvent s’avérer vitaux pour les entreprises. L’implication et l’adhésion des dirigeants aux mesures de sécurité est indispensable, tout comme leur comportement qui doit se vouloir exemplaire afin de s’assurer de l’adhésion des collaborateurs.

Cybermalveillance.gouv.fr

QUELS PLANS D’ACTIONS POUR GERER LES RISQUES LIES AU TELETRAVAIL ET SELON QUELLE APPROCHE ?

L’identification des risques liés au télétravail (étape 2 de la démarche de gestion des risques que je présente dans mes travaux) et leur mesure (probabilité/impact) (étape 3) permettent aux RM de les placer dans la cartographie des risques.

Voyons maintenant comment les gérer ?

Une grille de lecture / un article

👉 La mise en place de plans d’actions relève de l’étape 4 de la démarche de la gestion des risques.

En résumé, à quoi correspond-elle ?

Elle consiste à analyser les systèmes de contrôle interne : existe-t-il des dispositifs de contrôle ? De quels types sont-ils (procédures, chartes, formations, responsabilisation, assurances) ? Sont-ils efficaces, pertinents, fiables ?

Les conclusions quant à ces dispositifs de contrôle du risque permettent à l’entreprise de définir un ou des plans d’actions (bénéfice/ressources à investir) destinés à améliorer la couverture des risques majeurs (action sur l’impact et/ou la probabilité).

Les plans d’actions sont diffusés via la responsabilisation et la mise en réseau. En face de chaque risque majeur est positionné un responsable chargé d’un plan d’actions (également appelé le « propriétaire » du risque) : un réseau  de responsabilité est ainsi mis en place. Pour chaque famille de risques, des experts sont choisis pour aider ces « propriétaires » de risque : un réseau de soutien est mis en place. Un comité de risques central chapeaute ces deux réseaux.

Ces outils donnent à la démarche de gestion des risques son caractère dynamique.

👉 Des accords d’entreprise sont un plan d’actions pour prévenir les risques liés au télétravail.

Dans le cadre de leurs recherches, Caroline Diard et Nicolas Dufour (mon co-auteur pour l’ouvrage « La Fonction Risk Manager. Organisation, Méthodes et Positionnement » https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html) ont mesuré l’efficacité d’accords d’entreprise dans cinq grandes banques contre trois types de risques liés au télétravail : la surconnexion, la surcharge de travail, et une mauvaise articulation entre le contrôle et l’autonomie du télétravailleur.

👉 Une gestion des risques technique et socio-cognitive. D’une logique de contrôle à une logique de soutien.

A côté de la formalisation comme moyen de prévenir les risques, ils évoquent d’autres moyens tels que l’évolution des modes managériaux, l’autonomie, la co-construction de nouvelles normes, l’autodiscipline, les bonnes pratiques.

Les risques psycho-sociaux liés au télétravail comme tous les risques ne sont pas seulement un « problème » technique mais également un « problème » de facteur humain.

C’est une idée qui m’est chère et qui ressort des entretiens que j’ai pu mener avec des RM : la gestion des risques doit être à la fois technique et socio-cognitive, passer d’une logique de contrôle à une logique de soutien.

Elle rejoint la mise en place du « risk management intelligent» préconisés par Power (2004, 2007, 2009, 2016). Dans un article, j’écris : « Préférer une logique de soutien à la logique de contrôle qui prévaut à la mise en place de la gestion des risques transformerait la Fonction Risk Manager en instrument de légitimité cognitive. L’accès des RM au terrain serait facilité ; les obstacles associés à la logique de contrôle (manque de communication interne en direction des opérationnels, méfiance vis-à-vis des opérationnels, manque de motivation, de disponibilité et inertie des opérationnels, poids de la sanction venant de la direction) seraient allégés. Cette première dynamique passe par la mise en place d’une approche globale technique et socio-cognitive (Chautru, 2008 ; Aubry et Montalan, 2007). »

👉 A lire

Dans les banques, les accords d’entreprise limitent en partie les risques liés au télétravail

« En 2019, une étude de l’Association nationale des directeurs des ressources humaines (ANDRH) montrait que, dans la majorité des cas, le recours au télétravail était formalisé soit par un accord de groupe ou d’entreprise, soit par une charte d’employeur. Parmi ces sociétés, on retrouve de nombreuses banques, l’un des secteurs où cette pratique se concentre particulièrement.

Dans le cadre de nos recherches (menées fin 2019), nous avons évalué l’efficacité de tels accords dans 5 grandes banques contre trois types de risques liés au télétravail : la surconnexion, la surcharge de travail, et une mauvaise articulation entre le contrôle et l’autonomie du télétravailleur. Il ressort de notre étude, publiée dans la Revue de l’organisation responsable, que les accords d’entreprise permettent effectivement de réduire les deux premiers types de risques, mais leur portée reste limitée pour gérer le troisième enjeu.

Une surcharge de travail limitée

En ce qui concerne le droit à la déconnexion, les accords d’entreprise reprennent les dispositifs introduits dans le Code du travail en 2017. La possibilité d’être connecté 24 heures sur 24 rend en effet le télétravailleur disponible et induit parfois une situation de connexion subie. L’organisation doit donc anticiper la perméabilité de la frontière entre vie privée et professionnelle.

Dans l’une des banques étudiées, l’accord prévoit explicitement que :

« Aucun courriel ne sera adressé avant 8 h le matin et après 19 h 30 le soir ; aucun courriel ne sera adressé durant les week-ends et jours fériés sauf en cas de manifestations commerciales de type foires et salons auxquelles participerait le salarié nomade ».

Même si certains salariés reconnaissent des « difficultés à déconnecter » ou encore « consulter souvent les messages via le smartphone », ils déclarent globalement respecter la séparation vie privée – vie professionnelle, évoquant notamment l’efficacité en ce sens d’un cadrage lié à une connexion à distance qui s’interrompt par module de 4 heures.

Pour ce qui est de la charge du travail du salarié, en pratique, la mise en place du télétravail ne devrait pas avoir d’effet. Dans le cas des banques étudiées, le respect des horaires semble être prévu par les accords et les directions s’attachent à respecter la loi.

Or, nos observations terrain, comme d’autres travaux de recherche, révèlent une tendance à l’augmentation de la charge de travail lorsque celui-ci est réalisé à distance. Il semble s’agir d’initiatives des salariés qui témoignent avoir des difficultés à « poser des limites », comme l’un d’entre eux nous l’a confié.

Les accords permettent toutefois de contenir le phénomène. Dans une caisse régionale étudiée, la règle selon laquelle le télétravailleur doit rester joignable aux horaires habituels de l’équipe, ou encore la définition stricte des horaires « 8h30 – 12h30/13h30 – 18 h », constituent par exemple des mesures appréciées de certains, qui se disent même « plus performants ». La limitation à un jour de télétravail par semaine permet en outre de laisser la charge de travail quasi inchangée.

Du contrôle à l’« autocontrôle »

Lorsqu’on l’interroge sur une éventuelle surcharge de travail, un répondant reconnaît l’apparition d’une plus grande amplitude horaire, mais aussi d’« une souplesse appréciable ». Ce témoignage illustre bien la nécessité d’un management différent du travail à distance, qui doit prendre en compte les bouleversements en termes de contrôle, d’autonomie et de confiance dans l’organisation. D’autant plus que l’autonomie gagnée rend le collaborateur redevable, parfois tenté de prouver son engagement et sa loyauté.

Dans une situation de télétravail, le collaborateur doit en effet s’adapter à des situations inédites, en l’absence de manager, définissant alors par lui-même un mode de fonctionnement. De son côté, le manager peut être tenté de recourir au contrôle technologique du travail effectué, ce qui peut donner lieu à certaines dérives.

Dans tous les accords étudiés, signés au sein de 5 banques, l’accès au télétravail est fondé sur la capacité du salarié à travailler en autonomie et à distance, et concerne les collaborateurs ne nécessitant pas de soutien managérial physique rapproché. L’accord d’une banque précise par exemple que :

« Une autonomie d’organisation du temps de travail est reconnue aux salariés nomades ».

D’autres accords prévoient une commission de suivi ou définissent encore le cadre hebdomadaire, par exemple « à raison d’un jour par semaine, fixé en concertation avec le manager ».

En revanche, la notion de contrôle n’apparaît pas systématiquement. Aucun des collaborateurs ou managers interrogés dans l’étude n’a évoqué de mise en place de logiciel spécifique de surveillance. Tous les managers disent accorder toute leur confiance aux collaborateurs. Ils n’ont pas la sensation de suivre de façon particulièrement étroite les télétravailleurs.

Cependant, le reporting est systématiquement évoqué, à l’image du témoignage de cet interviewé :

« Je contrôle au moins une fois par mois qu’elle réponde au téléphone le jour du télétravail, je regarde de temps en temps s’il est connecté et je lui demande un reporting le soir ».

L’autonomie et la délégation peuvent donc devenir un moyen de transférer la responsabilité des objectifs sur les collaborateurs. Autrement dit, une forme d’« autocontrôle » succède au contrôle qui repose désormais sur une auto-évaluation davantage que sur un lien hiérarchique entre manager et managé.

Autrement dit, la perception mouvante d’autonomie et de contrôle dépend autant de la relation managériale que de l’application de l’accord d’entreprise. Sur les risques liés à ce bouleversement dans le lien hiérarchique, l’accord d’entreprise – dans les banques mais sans doute également dans d’autres secteurs tertiaires – semble donc une réponse plus incomplète qu’il ne peut l’être concernant la surconnexion ou la surcharge de travail.

Dans un récent article publié dans The Conversation, nous avions d’ailleurs plus largement regretté l’absence de prise en compte de ces risques dans l’Accord national interprofessionnel (ANI) « pour une mise en œuvre réussie du télétravail » conclu par les partenaires sociaux, le 26 novembre 2020. C’est donc probablement sur ce point-là que les négociations, à tous les échelons et dans bon nombre de secteurs, devraient évoluer ces prochaines années. »

Caroline Diard Enseignant-chercheur en management des RH et Droit, ESC Amiens.

Nicolas Dufour Professeur affilié, PSB Paris School of Business – UGEI.

Mai 2021

RIsque et opportunité. Une autre approche

Risque et Danger

« La notion de risque est ancienne, ancrée dans la société et associée à une connotation de peur, de danger. Quand Beck (2001) affirme que notre monde est le premier à être confronté au risque suprême de la destruction de la vie sur la terre, de la fin de l’Humanité, Méric et al. (2009) rappellent que les Aztèques redoutaient le retour du Néant provoqué par l’arrêt de la course du soleil et ainsi l’ancrage du risque dans l’histoire de l’Humanité. Dans cet ouvrage, les auteurs rappellent que le mot français daterait du XVIe siècle et que son étymologie serait liée à l’activité commerciale maritime (le risque que court une marchandise), avec comme postulat implicite, les conséquences néfastes de l’occurrence du risque. Laperche (2003) établit un lien entre le risque, expression du danger et la nécessité de le récompenser ou de le réduire…Au début des années quatre-vingt-dix, la notion de risque reste floue : risque et danger. » p.18. La Fonction Risk Manager. Organisation, Méthodes et Positionnement. Aubry C., Dufour N.

https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

Risque et Opportunité

« La notion de risque n’est pas nouvelle dans les entreprises (Knight, 1921). Il est présent dans toute action, fait partie de l’univers des entrepreneurs (Schumpeter, 1926) ; il est inhérent à toute décision : « Décider, c’est choisir, en univers incertain notamment, c’est prendre un risque en espérant que le choix s’avérera a posteriori judicieux. » (Persais, 2003). Le risque est ainsi à rapprocher de l’action. La prise de risque est en soi la conséquence de la prise de décision dans un but précis : « L’évènement non encore survenu qui motive l’action. » (Beck, 1986). Ce but précis, c’est dans le contexte de l’entreprise la recherche de relais de croissance, de rentabilité supérieure, de développement de l’organisation. p.18. La Fonction Risk Manager. Organisation, Méthodes et Positionnement. Aubry C., Dufour N.

Le risque peut (doit) être appréhendé comme une opportunité et la gestion des risques comme une  démarche positive : reconnaître la valeur de la prise de risque et des coûts d’opportunité. C’est bien de prendre des risques. Il faut prendre des risques. A condition « seulement » de savoir « où l’on met les pieds ». Apprendre de ses échecs mais aussi ses succès : apprentissage, REX, diffusion des Bonnes Pratiques…Il s’agit des dispositifs de l’approche socio-cognitive de la gestion des risques qui m’est chère. Vous pouvez la retrouver via des articles publiés sur le blog (Catégorie Gestion des Risques. Rubrique Démarche socio-cognitive.) ou dans l’ouvrage ci-dessus comme fil conducteur de la présentation de la Fonction Risk Manager (sortir de l’approche contrôle / « riskmanagement intelligent » prôné par Power pour gagner en légitimité).  

Je vous propose deux articles qui associent risque et opportunité.

Pour passer du risque à l’opportunité :
« Les achats responsables au cœur des nouveaux enjeux de RSE »
« Kenya : une startup transforme le fléau des criquets pèlerins en bénédiction pour les agriculteurs »


Les achats responsables au cœur des nouveaux enjeux de RSE 

En ces temps troublés, plus que jamais, les entreprises vont être scrutées. A elles de se montrer irréprochables.

Jusqu’à récemment encore, l’attente des citoyens en matière de changement, qu’il soit social, sociétal, ou environnemental, était essentiellement tournée vers l’Etat. Comme différents indicateurs ont pu le souligner, a fortiori depuis la crise financière de 2009 et devant la résurgence des catastrophes climatiques ces dernières années, un changement de paradigme est néanmoins à l’œuvre, et il s’est renforcé avec la crise sanitaire : les citoyens éclairés ont pris conscience que le changement ne pourrait se faire qu’à travers eux et comptent sur les entreprises pour en être les relais collectifs visibles. En jeu, la possibilité de consommer mieux, en respectant le monde qui les entoure. En conséquence, les entreprises doivent opérer un changement de cap aussi nécessaire qu’attendu, entraînant dans leur sillage tout un écosystème économique.

L’émergence du « nouveau consommateur »

Ce qu’il est intéressant de voir pour bien comprendre la mécanique à l’œuvre, c’est que ces citoyens sont à la fois des salariés (ou futurs salariés d’organisation) et les clients finaux qui feront l’acquisition d’un bien ou d’un service auprès d’une entreprise. Cette position de consommateurs-acteurs leur confère un rôle de moteur du changement, à l’heure où l’on se dit que la demande peut conditionner l’offre. Une grande enseigne de distribution en a d’ailleurs récemment fait son slogan (« Place au nouveau consommateur »), ancrant ainsi une nouvelle réalité : les citoyens se placent désormais en acheteurs responsables, et imposent aux entreprises d’être alignées sur ces valeurs et d’être dans une nouvelle dynamique de responsabilité.

Car si les questions de RSE sont déjà largement intégrées dans les plus grandes entreprises françaises, il apparaît clairement qu’en plus d’être sociale, cette responsabilité doit être sociétale et environnementale, et s’étendre à toutes les organisations. Les salariés expriment d’ailleurs des attentes fortes, en ce sens, envers leur employeur et attendent de la part des entreprises, notamment les plus grandes, des efforts honnêtes et plus conséquents encore.

Alors que les figures d’autorité sont largement remises en cause et que la confiance déjà restreinte dans les pouvoirs publics continue de s’étioler, le niveau de confiance des salariés dans leur employeur résiste. Selon l’édition 2021 du Trust Barometer d’Elan Edelman, l’employeur serait même « le dernier bastion de la confiance » : 70% des répondants déclarent, en effet, avoir confiance en leur employeur contre 50% seulement lorsque l’on évoque le gouvernement ; 67% pensent, par ailleurs, que les P-DG devraient intervenir lorsque le gouvernement ne résout pas des problèmes de société et 66% souhaitent que les dirigeants jouent un rôle de premier plan dans les changements à opérer, plutôt que ce soit le gouvernement qui les leur impose. Voilà qui en dit long sur la vision qu’ont ces « nouveaux consommateurs » de leur rôle de contre-pouvoir par le biais de l’entreprise, à une époque où les initiatives citoyennes se multiplient, sans trouver d’écho réellement favorable auprès des pouvoirs publics.

De la poussée citoyenne au changement des modes de production

Toujours selon le Trust Barometer 2021, 73% des sondés se disent inquiets (ou très inquiets) en ce qui concerne le changement climatique. La prise de conscience d’une Terre aux ressources précieuses et limitées est globale, et les attentes en matière de changement doivent se traduire au sein des entreprises, dont la survie, à terme, dépendra de leur engagement en matière de développement durable notamment. Le changement de modes de consommation, pour ceux qui le peuvent, est en marche. L’heure est à la limitation de l’impact environnemental au niveau individuel et collectif (consommation locale/de saison, circuits courts, agriculture bio, traçabilité des matières et matériaux, énergie verte, possibilité de réparer plutôt que de jeter…). En miroir, l’offre s’ajuste progressivement. Les exemples dans l’agroalimentaire (origine France, zéro pesticides, issu de coopératives…), l’énergie (énergies vertes et/ou renouvelables, recyclage…), l’immobilier (rénovation énergétique, constructions écoresponsables) ou l’automobile (véhicule hybrides et électriques) ne manquent pas, tandis que la crise a fait émerger, pour d’autres raisons, l’importance de relocaliser certaines productions. Chacun s’accorde pour un retour progressif à une logistique de proximité, moins polluante, moins invasive et bénéfique à chacun. De la même manière, le nouveau consommateur inclut dans sa réflexion la mesure de l’impact social de ses achats, en portant une attention croissante au respect des conditions de travail et aux droits individuels des salariés participant à la conception des biens et des services dont il fait l’acquisition. Le récent plan de relance du gouvernement qui est une feuille de route pour la refondation économique, sociale et écologique du pays va également dans ce sens. A travers le label France Relance, le gouvernement soutient les entreprises optant pour des investissements plus « verts » et globalement plus responsables socialement avec un objectif annoncé : bâtir la France de 2030.

Des enjeux écologiques qui sont des enjeux économiques pour les entreprises

La performance d’une entreprise repose sur sa capacité à générer du chiffre d’affaires et des bénéfices (c’est-à-dire, à vendre ce qu’elle produit) pour investir, en vue de rester compétitive et de poursuivre son développement. Lorsque les attentes des consommateurs évoluent de manière aussi fondamentale que ce que l’on observe actuellement et que la notion d’entreprise engagée (et par extension de fournisseurs engagés, de supply chain responsable…) devient un facteur de décision dans le processus d’achat, l’entreprise se doit d’adapter rapidement son modèle ou sa production pour rester attractive et performante. Les enjeux écologiques et sociaux pour le citoyen sont des enjeux économiques pour l’entreprise. Il s’agit par conséquent pour les organisations de répondre aux nouvelles exigences des consommateurs responsables, en se positionnant à leur tour comme des acteurs du changement. Comment ? En développant des politiques RSE fortes et cohérentes. En s’appliquant aussi à entraîner dans leur sillage celles et ceux qui composent leur écosystème direct : clients, fournisseurs et partenaires, collaborateurs et futurs collaborateurs, pouvoirs publics dans certains cas. Tout cela doit participer à établir un cercle vertueux, dont la circonférence ne cesse de croître à mesure qu’il se nourrit de l’engagement des différents acteurs aux rangs 1, 2, 3…

A titre d’exemple, l’une de mes collaboratrices me relatait récemment une expérience d’achat qui résume bien cette tendance : ce que sont les achats responsables et comment ceux-ci peuvent se décliner. Elle venait de faire l’acquisition d’un vêtement technique de montagne, et la lecture des « 10 engagements » de la marque illustrait tout à fait les différentes dimensions de ce qu’est et doit être la responsabilité d’une entreprise de l’industrie textile aujourd’hui. On pouvait lire notamment : développer des produits durables, aller vers de l’éco-conception, privilégier le recours à des matières certifiées et garantir le sourcing des achats. Garantir le sourcing des achats, c’est travailler avec des fournisseurs et des prestataires engagés sur le plan social (pas de travail forcé, dissimulé ou travail des enfants, lutte contre les discriminations) comme environnemental (provenance, mode d’extraction des matières premières ou de transformation, audit d’impacts, valorisation de la production et des achats en circuits courts et continentaux versus internationaux, valorisation des produits usagés…), dans le respect des intérêts de tous et non d’intérêts propres (lutte contre la corruption). Tous ces engagements suivent précisément la charte Global Compact des Nations-Unies, qui peut servir de cadre aux entreprises pour consolider leurs engagements, notamment en matière de politique d’achats responsables.

Le mouvement est initié, la route reste à parcourir

Aujourd’hui, les politiques d’achats responsables ne sont pourtant une réalité que dans 60% des entreprises en France, selon l’Observatoire de la fonction achats 2030 de Michael Page/CNA (dont les résultats seront publiés début mai). L’une des raisons à cela est que l’on associe encore trop souvent « politique d’achats responsables » et entreprises industrielles ou multinationales. Or, ces politiques doivent aussi se diffuser largement auprès et au sein des entreprises de taille moyenne et des entreprises de services, qui sont au cœur des écosystèmes économiques. Des labels comme Ecovadis, auquel les entreprises se montrent de plus en plus attentives, viennent récompenser les organisations qui s’impliquent sur ce plan et peuvent, là encore venir, accompagner la mise en place des actions.

La crise actuelle est l’opportunité d’opérer un changement à la fois profond et durable, répondant aux nouvelles attentes des citoyens en matière de responsabilité sociale et environnementaleLa mise en place d’une politique d’achats responsables, quelle qu’en soit la dimension initiale, doit devenir pour tous une conviction. Parce qu’il s’agit déjà d’un facteur de décision d’achat pour de nombreux consommateurs, et parce qu’il s’agira de plus en plus d’un facteur d’attractivité et de décision bilatérale pour l’ensemble des partenaires engagés dans une relation commerciale (entreprises, fournisseurs, prestataires, …) et pour les ressources humaines d’une entreprise (salariés et futurs collaborateurs). Les entreprises peuvent, si ce n’est changer le monde, apporter une pierre significative à l’édifice.

Kenya: une startup transforme le fléau des criquets pèlerins en bénédiction pour les agriculteurs

The Bug Project propose aux paysans kenyans de ramasser les criquets dans les champs contre paiement, et transforme les insectes soit en engrais, soit en aliment pour bétail. © The Bug Project

Transformer un fléau en bénédiction, c’est l’objectif que s’est fixé une petite société kényane. The Bug Project ramasse dans les champs les criquets pèlerins qui ont envahi tous l’est de l’Afrique, et notamment le Kenya, pour en faire soit du compost, soit de l’alimentation pour bétail. Une solution qui permet aux villageois kenyans de surmonter les pertes engendrées par les invasions de criquets.

Depuis près d’un an et demi, le Kenya affronte les pires invasions de criquets pèlerins de son histoire. Les insectes réduisent à néant les cultures et dévastent les campagnes. Face à la détresse des paysans kényans, Laura Stanford, une Sud-Africaine de 33 ans, installée à Nairobi a décidé d’agir. « En réalité, s’il n’y avait pas eu le Covid-19, l’invasion de criquets pèlerins dans la Corne de l’Afrique aurait été la plus grande crise humanitaire de l’année dernière », dit-elle.

À la tête d’une petite entreprise d’élevage d’insectes destinés à l’alimentation animale, The Bug Project, elle entame donc dans plusieurs comtés ruraux des campagnes de ramassage de criquets. En collaboration avec la FAO, l’agence des Nations unies pour l’agriculture qui a entrepris depuis un an des opérations de pulvérisation d’insecticide.  

Mobiliser les habitants

« Tôt le matin, nous appelons la FAO, pour savoir où sont les essaims d’insectes et s’ils seront pulvérisés ou non. Si ce n’est pas le cas, nos équipes mobiles vont dans les villages, pour mobiliser les habitants et leur expliquer comment ramasser les criquets et les mettre dans des sacs que nous distribuons. Et nous payons les communautés par kilos de criquets ramassés. Nous payons immédiatement par MPESA, une application de mobile money », explique Laura Stanford.

Les villageois récupèrent 15 shillings, soit environ dix centimes d’euro par kilo d’insectes. Quant aux criquets, ils seront transformés en engrais s’ils proviennent d’essaims traités à l’insecticide, ou en nourriture pour animaux dans le cas contraire. 

Étendre le projet à l’ensemble du Kenya et au-delà

Antoine Hubert, ancien ingénieur d’Agro Paris Tech, une école d’agronomie, dirige aujourd’hui Ynsect, autrement dit la plus grande entreprise d’aliments pour bétail fabriqués à base d’insectes, en Europe. Pour lui, l’initiative de Laura Stanford fait sens dans un monde où les ressources ont tendance à s’épuiser.

« Cela fait partie de la solution, en effet. Et quand on voit ces invasions de criquets pèlerins, autant effectivement essayer de les collecter et de les transformer en aliments, d’autant que ce sont de très bonnes sources de protéines, très équilibrées. Il y a ces initiatives-là, et il y en a beaucoup d’autres. Il y a des projets au Cameroun ou au Burkina Faso où des vers de palme qui en passant d’un stade de collecte à un stade d’élevage, permettent de produire plus et de manière moins saisonnière. Ce qui crée de nouvelles filières, des revenus et des emplois », soutient Antoine Hubert.

Laura Stanford permet aux paysans collecteurs de criquets de gagner un peu d’argent en attendant des jours meilleurs. Elle leur redistribue aussi une partie du compost fabriqué avec les insectes afin de fertiliser leurs champs. Dépendante pour l’heure des fonds de la coopération danoise, elle aimerait étendre son projet à l’ensemble du Kenya ainsi qu’aux pays voisins, eux aussi touchés par les invasions de criquets pèlerins.  

Olivier Rogez

RGPD. BEST-PRACTICES ET PLANS D’ACTIONS

Le mois de janvier est consacré au RGDP, que j’appelle dans mes travaux un amplificateur de risques (p.47, chapitre 1) / https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html
Après le rappel du contexte réglementaire, les 1eréléments de bilan 2020 et les sanctions (Carrefour et Carrefour Banque, Google, H&M) je vous propose, à partir d’éléments communiqués par l’entreprise toulousaine I-Trust (Editeur de solutions de Cybersécurité), une synthèse de best practices issues des règles de l’ANSSI et des recommandations de la CNIL. Autant de best pratices à suivre et de plans d’actions à mettre en œuvre.

Les règles de conformité RGPD imposent aux entreprises de se sécuriser selon les meilleures pratiques issues des :

Les règles d’hygiènes et bonnes pratiques de l’ANSSI

# 4 : Identifier les informations et serveurs les plus sensibles et maintenir un schéma du réseau.

Maintenir la cartographie du SI et des informations sensibles via les tags RGPD.

# 5 : Disposer d’un inventaire des comptes privilégiés et les maintenir à jour.

Identifier les comptes privilégiés et de vérifier en continu leur mise à jour. 

# 7 : Autoriser la connexion au réseau de l’entité aux seuls équipements maîtrisés.

Détecter la connexion d’appareils étrangers au SI.

#8 : Identifier nommément chaque personne accédant au système et distinguer les rôles utilisateur/administrateur. Journalisation activée.

Détecter les comportements malveillants sur les opérations de comptes et les partages réseaux. 

Détecter les bruits de force de compte. 

# 10 : Définir et vérifier des règles de choix et de dimensionnement des mots de passe.

Détecter des mots de passe triviaux actifs sur le réseau.

# 12 : Changer les éléments d’authentification par défaut sur les équipements et services.

Détecter les mots de passe par défaut sur les équipements et services.

# 14 : Mettre en place un niveau de sécurité minimal sur l’ensemble du parc informatique. Cette règle concerne essentiellement des points de configuration (chiffrement disque, désactivation autorun, etc.).

# 18 : Chiffrer les données sensibles transmises par voie Internet.

Détecter la présence de services d’échange ou d’interface de connexion non sécurisés.

# 20 : S’assurer de la sécurité des réseaux d’accès Wi-Fi et de la séparation des usages.

Scanner la sécurité des équipements impliqués dans le WiFi (bornes, routeur, etc.)

#21 : Utiliser des protocoles réseaux sécurisés dès qu’ils existent.

Détecter les services en écoute qui ne garantissent pas la sécurité des transmissions.

# 22 : Mettre en place une passerelle d’accès sécurisé à Internet.

Scanner la sécurité de cette passerelle.

#34 : Définir une politique de mise à jour des composants du système d’information.

Détecter les problèmes d’obsolescence des composants.

#36 : Activer et configurer les journaux des composants les plus importants.

Effectuer une étude contextuelle du SI. Journaliser les éléments suivants : > pare-feu : paquets bloqués ; > systèmes et applications : authentifications et autorisations (échecs et succès), arrêts inopinés ; > services : erreurs de protocoles (par exemples les erreurs 403, 404 et 500 pour les services HTTP), traçabilité des flux applicatifs aux interconnexions (URL sur un relai HTTP, en-têtes des messages sur un relai SMTP, etc.). Pour se faire un centre opérationnel de sécurité doit être installé. 

#38 : Procéder à des contrôles et audits de sécurité régulier puis appliquer les actions correctives associées.

Auditer le réseau en continu et éliminer les vulnérabilités évidentes pour que les auditeurs puissent se concentrer sur les failles cachées.

Procéder à des contrôles et audits de sécurité réguliers pour appliquer les actions correctives associées. 

# 40 : Définir une procédure de gestion des incidents.

Surveiller en continu toute intrusion ou malveillance présente sur le SI.

# 42 : Privilégier l’usage de produits et de services qualifiés par l’ANSSI.

Obtenir la certification CSPN.

Les règles de la CNIL. Les fiches CNIL sur la sécurité des données personnelles. 

#Fiche 1 : Sensibiliser les utilisateurs

Formation au RGPD pour faire le point sur les nouvelles règles et connaître les outils qui sont obligatoires depuis mai 2018, afin de lancer la mise en conformité au plus tôt dans votre organisme.

Cette formation est adressée aux CIL/DPO/DSI/RSSI/Responsable qualité et conformité.

#Fiche 2 : Authentifier les utilisateurs.

Cartographie de l’ensemble du SI permettant de détecter la connexion d’appareils étrangers au SI. Il permet de détecter les protocoles d’accès et d’authentification (ssh/smtp/FTP/…)

#Fiche 3 : Gérer les habilitations.

#Fiche 4 : Tracer les accès et gérer les incidents.

#Fiche 5 : Sécuriser les postes de travail. 

#Fiche 6 : Sécuriser l’informatique mobile. 

#Fiche 7 : Protéger le réseau informatique interne.

#Fiche 8 : Sécuriser les serveurs.

#Fiche 9 : Sécuriser les sites web.

Cartographie de l’ensemble du réseau. Note de criticité et correctifs associés. Identification des vulnérabilités et logiciels non mis à jour de la plupart des périphériques et applications, y compris les firewalls, les serveurs, les systèmes d’exploitation de bureau, les imprimantes, les appareils sans fil, ainsi que de nombreux autres éléments.

RGPD. SANCTIONS. CARREFOUR. GOOGLE. H&m.

Le mois de janvier est consacré au RGDP, que j’appelle dans mes travaux un amplificateur de risques (p.47, chapitre 1) / https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

Au programme :

  • article / sanctions Carrefour France (2,25 millions euros) et Carrefour Banque (800 000 euros) / avec les délibérations et pour approfondir les références aux articles de la CNIL
  • article / sanctions Google LLC (60 millions d’euros) et Google Ireland Limited (40 millions d’euros)
  • article sanctions H&M (35 millions d’euros)

Sanctions de 2 250 000 euros et de 800 000 euros pour les sociétés CARREFOUR FRANCE et CARREFOUR BANQUE

26 novembre 2020


Saisie de plusieurs plaintes, la CNIL a sanctionné deux sociétés du groupe CARREFOUR pour des manquements au RGPD concernant notamment l’information délivrée aux personnes et le respect de leurs droits.

Saisie de plusieurs plaintes à l’encontre du groupe CARREFOUR, la CNIL a effectué des contrôles entre mai et juillet 2019 auprès des sociétés CARREFOUR FRANCE (secteur de la grande distribution) et CARREFOUR BANQUE (secteur bancaire). À cette occasion, la CNIL a constaté des manquements concernant le traitement des données des clients et des utilisateurs potentiels. La Présidente de la CNIL a donc décidé d’engager une procédure de sanction à l’encontre de ces sociétés.

À l’issue de cette procédure, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a effectivement considéré que les sociétés avaient manqué à plusieurs obligations prévues par le RGPD.

Elle a ainsi sanctionné la société CARREFOUR FRANCE d’une amende de 2 250 000 euros et la société CARREFOUR BANQUE d’une amende de 800 000 euros. En revanche, elle n’a pas prononcé d’injonction dès lors qu’elle a constaté que des efforts importants avaient permis la mise en conformité sur tous les manquements relevés.

Des manquements à l’obligation d’informer les personnes (article 13 du RGPD)

L’information fournie aux utilisateurs des sites carrefour.fr et carrefour-banque.fr comme aux personnes désirant adhérer au programme de fidélité ou à la carte Pass n’était pas facilement accessible (accès à l’information trop compliqué, dans des documents très longs contenant d’autres informations), ni facilement compréhensible (information rédigée en des termes généraux et imprécis, utilisant parfois des formulations inutilement compliquées). De plus, elle était incomplète en ce qui concerne la durée de conservation des données.

Concernant le site carrefour.fr, l’information était également insuffisante en ce qui concerne les transferts de données hors de l’Union européenne et la base légale des traitements (fichiers).

Sur ce point, les sociétés ont modifié leurs mentions d’information et sites web durant la procédure pour se mettre en conformité.

Des manquements relatifs aux cookies (article 82 de la loi Informatique et Libertés)

La CNIL a constaté que, lorsqu’un utilisateur se connectait au site carrefour.fr ou au site carrefour-banque.fr, plusieurs cookies étaient automatiquement déposés sur son terminal, avant toute action de sa part. Plusieurs de ces cookies servant à la publicité, le consentement de l’utilisateur aurait pourtant dû être recueilli avant le dépôt.

Les sociétés ont modifié, durant la procédure, le fonctionnement de leurs sites web. Plus aucun cookie publicitaire n’est désormais déposé avant que l’utilisateur n’ait donné son accord.

Un manquement à l’obligation de limiter la durée de conservation des données (article 5.1.e du RGPD)

La société CARREFOUR FRANCE ne respectait pas les durées de conservation des données qu’elle avait fixées. Les données de plus de vingt-huit millions de clients inactifs depuis cinq à dix ans étaient ainsi conservées dans le cadre du programme de fidélité. Il en était de même pour 750 000 utilisateurs du site carrefour.fr inactifs depuis cinq à dix ans.

Par ailleurs, en l’espèce, la formation restreinte considère qu’une durée de conservation de 4 ans des données clients après leur dernier achat est excessive. En effet, cette durée, initialement retenue par la société, excède ce qui apparaît nécessaire dans le domaine de la grande distribution, compte tenu des habitudes de consommation des clients qui font principalement des achats réguliers. 

Pendant la procédure, la société CARREFOUR FRANCE a engagé d’importants moyens pour procéder aux modifications nécessaires à sa mise en conformité avec le RGPD. Toutes les données trop anciennes ont notamment été supprimées.

Un manquement à l’obligation de faciliter l’exercice des droits (article 12 du RGPD)

La société CARREFOUR FRANCE exigeait, sauf pour l’opposition à la prospection commerciale, un justificatif d’identité pour toute demande d’exercice de droit. Cette demande systématique n’était pas justifiée dès lors qu’il n’existait pas de doute sur l’identité des personnes exerçant leurs droits. Par ailleurs, la société n’a pas été en mesure de traiter dans les délais exigés par le RGPD plusieurs demandes d’exercice de droits.

Sur ces deux points, la société a modifié ses pratiques durant la procédure. Elle a notamment déployé d’importants moyens humains et organisationnels pour répondre à l’ensemble des demandes reçues dans un délai inférieur à un mois.

Un manquement au respect des droits (articles 15, 17 et 21 du RGPD et L34-5 du Code des postes et des communications électroniques)

Tout d’abord, la société CARREFOUR FRANCE n’a pas donné suite à plusieurs demandes de personnes souhaitant accéder à leurs données personnelles. La société s’est rapprochée de toutes les personnes concernées durant la procédure.

Ensuite, dans plusieurs cas, la société n’a pas procédé à l’effacement de données demandé par plusieurs personnes alors qu’elle aurait dû le faire. Sur ce point également, la société a fait droit à toutes les demandes durant la procédure.

Enfin, la société n’a pas pris en compte plusieurs demandes de personnes s’étant opposées à recevoir de la publicité par SMS ou courrier électronique, notamment en raison d’erreurs techniques ponctuelles. La société s’est mise en conformité durant la procédure sur ce point également.

Un manquement à l’obligation de traiter les données de manière loyale (article 5 du RGPD)

Lorsqu’une personne souscrivant à la carte Pass (carte de crédit pouvant être rattachée au compte fidélité) souhaitait également adhérer au programme de fidélité, elle devait cocher une case indiquant qu’elle acceptait que CARREFOUR BANQUE communique à « Carrefour fidélité » son nom, son prénom et son adresse de courrier électronique. CARREFOUR BANQUE indiquait explicitement qu’aucune autre donnée n’était transmise. La CNIL a pourtant constaté que d’autres données étaient transmises, comme l’adresse postale, le numéro de téléphone et le nombre de ses enfants, bien que la société se fût engagée à ne transmettre aucune autre donnée.

Sur ce point, la société a modifié ses pratiques durant la procédure. Elle a entièrement refondu son parcours de souscription en ligne à la carte Pass et les personnes sont désormais informées de l’ensemble des données transmises à la société CARREFOUR FRANCE.

Les délibérations

> Délibération de la formation restreinte n° SAN-2020-008 du 18 novembre 2020 concernant la société CARREFOUR FRANCE 

> Délibération de la formation restreinte n° SAN-2020-009 du 18 novembre 2020 concernant la société CARREFOUR BANQUE 

Pour approfondir

> La procédure de sanction

Les textes de référence

> Article 5 du règlement général sur la protection des données (principes relatifs au traitement des données personnelles) 

> Article 5.1.e du RGPD (conservation des données) 

> Article 12 du RGPD (transparence des informations et des communications et modalités de l’exercice des droits de la personne concernée) 

> Article 13 du RGPD (informations à fournir lorsque des données personnelles sont collectées auprès de la personne concernée) 

> Article 15 du RGPD (droits de la personne concernée) 

> Article 17 du RGPD (droit à l’effacement ou droit à l’oubli) 

> Article 21 du RGPD (droit d’opposition) 

> Article 82 de la loi Informatique et Libertés (droits et obligations propres aux traitements dans le secteur des communications électroniques) 

> Article L34-5 du Code des postes et des communications électroniques 

Cookies : sanction de 60 millions d’euros à l’encontre de GOOGLE LLC et de 40 millions d’euros à l’encontre de GOOGLE IRELAND LIMITED

10 décembre 2020

Le 7 décembre 2020, la formation restreinte de la CNIL a sanctionné les sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED d’un montant total de 100 millions d’euros d’amende, notamment pour avoir déposé des cookies publicitaires sur les ordinateurs d’utilisateurs du moteur de recherche google.fr sans consentement préalable ni information satisfaisante.

Le 16 mars 2020, la CNIL a effectué un contrôle en ligne sur le site web google.fr qui a permis de constater que lorsqu’un utilisateur se rendait sur ce site, des cookies étaient automatiquement déposés sur son ordinateur, sans action de sa part. Plusieurs de ces cookies poursuivaient un objectif publicitaire.

Les manquements à la loi Informatique et Libertés

La formation restreinte, organe de la CNIL chargé de prononcer les sanctions, a relevé trois violations à l’article 82 de la loi Informatique et Libertés :

Un dépôt de cookies sans recueil préalable du consentement de l’utilisateur

Lorsqu’un utilisateur se rendait sur la page google.fr, plusieurs cookies poursuivant une finalité publicitaire étaient automatiquement déposés sur son ordinateur sans action de sa part.

Ce type de cookies ne pouvant être déposé sans que l’utilisateur ait exprimé son consentement, la formation restreinte a considéré que les sociétés n’avaient pas respecté l’exigence prévue par l’article 82 de la loi Informatique et Libertés de recueil préalable du consentement avant le dépôt de cookies non essentiels au service.

Un défaut d’information des utilisateurs du moteur de recherche google.fr

Lorsqu’un utilisateur se rendait sur la page google.fr, un bandeau d’information s’affichait en pied de page, portant la mention suivante « Rappel concernant les règles de confidentialité de Google » en face de laquelle figuraient deux boutons intitulés « Me le rappeler plus tard » et « Consulter maintenant ».

Ce bandeau ne fournissait à l’utilisateur aucune information relative aux cookies qui avaient pourtant déjà été déposés sur son ordinateur, dès son arrivée sur le site. Cette information ne lui était pas non plus fournie lorsqu’il cliquait sur le bouton « Consulter maintenant ».

La formation restreinte a donc estimé que l’information fournie par les sociétés ne permettait pas aux utilisateurs résidant en France d’être préalablement et clairement renseignés quant au dépôt de cookies sur leur ordinateur ni, par conséquent, des objectifs de ces cookies et des moyens mis à leur disposition quant à la possibilité de les refuser.

La défaillance partielle du mécanisme « d’opposition »

Lorsqu’un utilisateur désactivait la personnalisation des annonces sur la recherche Google en recourant au mécanisme mis à sa disposition à partir du bouton « Consulter maintenant », un des cookies publicitaires demeurait stocké sur son ordinateur et continuait de lire des informations à destination du serveur auquel il est rattaché.

La formation restreinte a donc estimé que le mécanisme « d’opposition » mis en place par les sociétés était partiellement défaillant, en violation de l’article 82 de la loi Informatique et Libertés.

La sanction prononcée par la formation restreinte

La formation restreinte a sanctionné la société GOOGLE LLC d’une amende de 60 millions d’euros et la société GOOGLE IRELAND LIMITED d’une amende de 40 millions d’euros, rendues publiques.

La formation restreinte a justifié ces montants au regard de la gravité du triple manquement précité à l’article 82 de la loi Informatique et Libertés.

Elle a également souligné la portée du moteur de recherche Google Search en France et le fait que les pratiques des sociétés ont affecté près de cinquante millions d’utilisateurs.

Enfin, elle a relevé les bénéfices considérables que les sociétés tirent des revenus publicitaires indirectement générés à partir des données collectées par ces cookies publicitaires.

La formation restreinte a pris acte que, depuis une mise à jour de septembre 2020, les sociétés cessent de déposer automatiquement les cookies publicitaires dès l’arrivée de l’utilisateur sur la page google.fr.

Elle a néanmoins relevé que le nouveau bandeau d’information mis en œuvre par les sociétés lors de l’arrivée sur la page google.fr ne permettait toujours pas aux utilisateurs résidant en France de comprendre les finalités pour lesquelles les cookies sont utilisés et ne les informait pas du fait qu’ils pouvaient refuser ces cookies.

Dès lors, en complément des amendes administratives, la formation restreinte a également adopté une injonction sous astreinte afin que les sociétés procèdent à une information des personnes conforme à l’article 82 de la loi Informatique et Libertés dans un délai de 3 mois à compter de la notification. Dans le cas contraire, les sociétés s’exposeront au paiement d’une astreinte de 100 000 euros par jour de retard.

Une compétence de la CNIL 

Dans sa délibération, la formation restreinte a rappelé que la CNIL est matériellement compétente pour contrôler et sanctionner les cookies déposés par les sociétés sur les ordinateurs des utilisateurs résidant en France. Elle a souligné ainsi que le mécanisme de coopération prévu par le RGPD (mécanisme de « guichet unique ») n’avait pas vocation à s’appliquer dans cette procédure étant donné que les opérations liées à l’utilisation des cookies relèvent de la directive « ePrivacy », transposée à l’article 82 de la loi Informatique et Libertés.

Elle a considéré qu’elle est également territorialement compétente en application de l’article 3 de la loi Informatique et Libertés car le recours à des cookies est effectué dans le « cadre des activités » de la société GOOGLE FRANCE qui constitue « l’établissement » sur le territoire français des sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED et y assure la promotion de leurs produits et services.

Elle a également estimé que les sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED sont conjointement responsables dès lors qu’elles déterminent toutes les deux les finalités et les moyens liés à l’usage des cookies.

L’articulation de la sanction avec les travaux de la CNIL sur les cookies

Dans le cadre de son plan d’action sur le ciblage publicitaire et pour tenir compte de l’entrée en application du RGPD, la CNIL a publié le 1er octobre 2020 ses lignes directrices modificatives ainsi qu’une recommandation portant sur l’usage de cookies et autres traceurs. La CNIL a demandé aux acteurs de se conformer aux règles ainsi clarifiées, en estimant que cette période d’adaptation ne devrait pas dépasser six mois.

À cette occasion, elle a néanmoins précisé qu’elle continuerait notamment à contrôler pleinement le respect des autres obligations qui n’ont fait l’objet d’aucune modification et le cas échéant, d’adopter des mesures correctrices pour protéger la vie privée des internautes.

Les obligations dont la CNIL sanctionne aujourd’hui le non-respect par les sociétés préexistaient au RGPD et ne font donc pas partie de celles qui ont été clarifiées par les nouvelles lignes directrices et la recommandation du 1er octobre 2020.

Note : La société GOOGLE LLC, établie en Californie, développe le moteur de recherche Google Search. La société GOOGLE IRELAND LIMITED, dont le siège est en Irlande, se présente comme le siège européen du groupe Google. La société GOOGLE FRANCE est l’établissement en France de la société GOOGLE LLC.

Une amende de 35 millions d’euros pour H&M qui a stocké les données personnelles des salariés

Ces faits ont été dévoilés en octobre 2019, lorsqu’une erreur informatique les a rendus accessibles, pendant quelques heures, à l’ensemble de l’entreprise.     

Une amende de plus de 35 millions d’euros a été prononcée contre l’enseigne H&M en Allemagne jeudi. Le groupe a été condamné pour avoir rassemblé et stocké des informations sur une centaine de salariés.

L’Allemagne a infligé jeudi une amende sans précédent de 35,3 millions d’euros au groupe de prêt-à-porter H&M, pour avoir enregistré des données privées de certains salariés à leur insu, a annoncé le centre de protection des données du pays jeudi.

« Large connaissance » de la vie privée des employés

« Une amende de 35 258 707,95 euros est requise contre H&M (…) pour une affaire de surveillance de plusieurs centaines de ses collaborateurs », a indiqué le Commissariat à la protection des données de Hambourg. Il s’agit du montant le plus important infligé par l’Allemagne à une entreprise au nom de la législation européenne sur la protection des données privées (RGPD), depuis son entrée en vigueur en 2018, a indiqué une porte-parole de l’institution.

Les autorités reprochent au groupe de prêt-à-porter d’avoir laissé des responsables d’un site H&M, à Nuremberg (sud), rassembler et stocker des informations sur leurs salariés, entre 2014 et 2019. « Certains de ces supérieurs ont acquis une large connaissance de la vie privée de leurs employés », a constaté le centre de protection.

Une erreur informatique

Après l’absence d’un collaborateur, les responsables du site organisaient systématiquement un entretien, traitant « des vacances », ou des « symptômes et diagnostics » du salarié, en cas de congés maladie. Ces informations étaient ensuite « enregistrées », stockées numériquement, et servaient à « établir des profils individuels ».

H&M insiste sur l’aspect « local » de ces pratiques

Les supérieurs obtenaient également des éléments de vie privée de leurs collaborateurs lors de discussions informelles, notamment sur des « problèmes familiaux », ou des « croyances religieuses ». Ces données étaient ensuite « disponibles à la lecture pour jusqu’à 50 responsables du groupe ».

Réagissant à la décision des autorités allemandes, la marque de prêt-à-porter a présenté ses excuses pour des faits qu’elle estime « non conformes aux directives et instructions » du groupe. H&M insiste sur l’aspect « local » de ces pratiques, et affirme avoir « signalé immédiatement les faits » aux autorités, après en avoir pris connaissance.

Ces faits ont été dévoilés en octobre 2019, lorsqu’une erreur informatique les a rendus accessibles, pendant quelques heures, à l’ensemble de l’entreprise. 

L’Europe veut protéger la vie privée

Le Règlement européen de protection des données a renforcé les obligations des entreprises en termes de protection de la vie privée. Il prévoit des amendes pouvant aller jusqu’à 4% de leur chiffre d’affaires.

En 2019, l’Allemagne a déjà condamné le groupe immobilier Deutsche Wohnen à une amende de 14,5 millions d’euros pour avoir archivé des données sensibles de ses locataires. La France a de son côté infligé une sanction de 50 millions d’euros au géant de l’informatique Google, pour défaut d’information de ses utilisateurs de leurs données personnelles. L’amende la plus élevée a été infligée par le Royaume-Uni à la compagnie aérienne British Airways, qui a écopé en 2019 d’une sanction de 183 millions de livres (200 millions d’euros), pour un vol des données financières de centaines de milliers de ses clients.

TOUT SAVOIR SUR LA GESTION DES RISQUES ET LE RISK MANAGER EN FRANCE. UNE LECTURE DE Noel : « LA FONCTION RISK MANAGER : ORGANISATION, MÉTHODES ET POSITIONNEMENT » !  

Merci d’avoir suivi mon blog.

A la rentrée : retour sur le rôle du législateur-régulateur comme amplificateur de risques avec les premières sanctions pour infraction au RGPD, point sur le marché des assurances, le rôle des captives…

Je terminerai l’année civile sur ce conseil de lecture. Ce sera le dernier post avant 2021.

Lien vers l’ouvrage : https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

ORGANISATION APPRENANTE : l’ ActeuR au coeur de la demarche de gestion des riSques

Continuons nos investigations sur les outils « hors contrôle » qui pourraient permettre aux RM français de mettre en place le « risk management intelligent» préconisé par Power (2004, 2007, 2009, 2016).

Je les développe dans l’ouvrage coécrit avec Nicolas Dufour. https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

Vous pouvez lire ou relire l’article du blog « Yves Rocher et les NeuroSciences » – Archives du blog Mai 2020 – ; l’article posté le 18 novembre relatif à L’ Organisation Apprenante, l’article posté le 24 novembre sur la nécessité elle aussi déjà proposé par Power d’émanciper les managers du déploiement d’informations sous la forme « d’outils formalisés, normés… » qu’il décrit comme une « addition de couches de pseudo confort donnant une illusion de confort. » (p.66 Aubry C., Dufour N., La Fonction Risk Manager)

Je vous propose aujourd’hui deux articles parus dans Harvard Business Review, écrits par deux chercheurs qui proposent de mettre l’acteur au cœur de la démarche : responsabilisation, confiance plutôt que contrôle, sanctions et méfiance de la DG.

Savoir augmenter la responsabilité sans susciter la méfiance

Il n’est jamais facile d’introduire un niveau accru de responsabilité dans une entreprise et bien trop souvent les personnes que vous souhaiteriez ainsi responsabiliser interprètent votre initiative comme une indication de votre manque de confiance en elles. C’est un problème que j’ai rencontré fréquemment après l’effondrement du bloc soviétique au sein des entreprises dans lesquelles le fonds de capital-investissement que je conseillais effectuait des placements.

Ceci me rappelle un exemple typique particulièrement frappant auquel j’ai été confronté avec l’équipe managériale d’un moulin de grande taille dont nous avions fait l’acquisition en Roumanie lors d’appels d’offres de privatisations. L’équipe s’était montrée méfiante dès le départ ; dans les anciens pays communistes les investisseurs occidentaux avaient la réputation de se débarrasser des managers en poste pour y installer les leurs.

Donc, bien que nous ayons laissé l’ancienne équipe managériale intacte, les responsables s’interrogeaient quant aux motifs sous-tendant tous les changements organisationnels que nous tentions de mettre en place. Ce fut cependant l’introduction du système des normes internationales d’audit employé par notre co-investisseur, le plus grand moulin grec, qui mis réellement le feu aux poudres.

Nous nous efforçâmes de convaincre le responsable du service comptabilité du moulin roumain que le marché boursier grec exigeait des entreprises membres qu’elles utilisent ce système, mais rien n’y fit. Il continua à soutenir que nous ne leur faisions pas confiance, à lui et à son équipe, et que ce système était juste notre manière de nous assurer que les gens du cru n’allaient pas nous escroquer.

L’ensemble de l’équipe managériale se sentait ainsi humiliée et blessée, ce qui commençait à avoir un sérieux impact sur le moral de tous. Quoi que nous fassions, il nous était tout simplement impossible de les convaincre que le système d’audit que nous souhaitions instaurer était identique à celui utilisé par le moulin grec et que cela n’avait donc rien à voir avec le fait que nous leur accordions notre confiance, ou non. Et comme m’avait alors dit un ami originaire du pays : « Plus tu essaieras de les convaincre avec des paroles, plus ils vont se méfier ».

Alors nous avons cessé les pourparlers et commencé à réfléchir et à agir. J’ai lancé le mouvement en partageant avec eux mon propre reporting mensuel concernant les performances du moulin, document destiné à l’équipe managériale du fonds de capital-investissement, en Grèce. Ils purent alors lire par eux-mêmes mon évaluation des perspectives et des problèmes ainsi que ce que je proposais pour avancer au mieux. Rien de ce qu’ils lurent n’était particulièrement surprenant mais ils étaient flattés que je partage un document aussi important avec eux. Plus important encore, cela leur donna le sentiment qu’on leur faisait confiance. Partant de cela, je me mis à leur demander conseil quant à la teneur du rapport, ce qu’ils interprétèrent, comme je l’espérais, comme un signe de respect de leur expérience.

Au bout de quatre mois, j’emmenai les trois plus hauts responsables du service comptabilité et finance au siège de notre partenaire, au Pirée, pour une visite d’une semaine. Sur place, ils purent constater par eux-mêmes que l’entreprise utilisait effectivement ce système pour ses propres moulins et que les auditeurs désignés par l’autorité grecque des marchés boursiers passaient en revue les résultats de tous les moulins. Nous avions en outre demandé aux managers du service financier du moulin grec de leur expliquer que la mise en œuvre d’un tel système comptable ne signifiait pas un manque de confiance à leur égard mais bien le contraire.

Cette visite permit non seulement à nos managers roumains de mieux comprendre la relation entre confiance et responsabilité, mais elle le convainquit également de notre sincérité. Ils apprécièrent l’accueil de leurs confrères grecs et la manière ouverte dont ils furent traités – sur un pied d’égalité. En outre, ils partirent emplis d’un nouveau respect pour le moulin de leur actionnaire principal, grand, moderne et bien géré, et commencèrent à se sentir fiers d’appartenir au même groupe. Ils étaient dorénavant convaincus que nous étions déterminés à maintenir l’équipe locale pour l’aider à devenir une partie intégrante d’un groupe plus conséquent.

Après notre retour, j’ai demandé à l’équipe locale de commencer à me soumettre des rapports similaires à ceux que j’établissais moi-même. Il leur fut un peu difficile, dans un premier temps, d’admettre ouvertement, à l’écrit, leurs omissions et leurs échecs ! Pour autant, ils se lancèrent et, avec le temps, commencèrent à reconnaître les avantages considérables qu’ils pouvaient tirer d’un tel suivi de leur propre productivité, à travers ces rapports. Ils apprirent en fait simplement qu’en se regardant dans le miroir afin de se voir tels qu’ils étaient réellement, ils comprendraient mieux ce dont ils avaient besoin afin de continuer à progresser.

Charalambos Vlachoutsicos

Les neurosciences de la confiance 

Les façons de manager qui encouragent l’engagement des salariés.

Les entreprises s’efforcent par tous les moyens de responsabiliser et de stimuler leurs employés. Elles sont angoissées par l’état déplorable de l’engagement et ce à juste titre, au vu de la valeur qu’elles perdent. En étudiant la méta-analyse de Gallup, basée sur des données accumulées pendant des décennies, on s’aperçoit qu’un engagement fort – c’est-à- dire avoir une bonne relation avec son travail et ses collègues, sentir que l’on apporte une véritable contribution et bénéficier de nombreuses opportunités d’apprentissage – mène constamment à des résultats positifs, à la fois pour les personnes et pour les organisations. Avec pour bénéfices une plus grande productivité, des produits de meilleure qualité et une rentabilité accrue.

Il est donc évident que cultiver un système axé sur les employés peut être bénéfique aux affaires. Mais comment faire cela efficacement ? Cette culture est généralement conçue autour d’opportunités comme des repas gastronomiques ou des soirées karaoké, souvent par soumission à une marotte de psychologue, de manière à répondre à des besoins spécifiques. Et malgré les preuves de l’impossibilité d’acheter une plus grande satisfaction liée à l’emploi, les entreprises passent tout de même des « menottes dorées » aux mains de leurs bons employés pour qu’ils restent. Alors que de tels efforts sont susceptibles de booster le bonheur sur le lieu de travail à court terme, ils ne parviennent pas à avoir un quelconque effet durable sur la performance ou sur la conservation des talents.

Dans mes recherches, j’ai découvert que c’est le développement d’une culture de la confiance qui fait la différence. Les employés des sociétés où le taux de confiance est élevé sont plus productifs, plus dynamiques au travail, collaborent mieux avec leurs collègues et restent plus longtemps avec leurs employeurs que les gens travaillant dans des sociétés dans lesquelles le niveau de confiance est bas. Ils souffrent moins de stress chronique et sont plus heureux dans leur vie. Ces facteurs alimentent une performance plus solide.

Les leaders comprennent les enjeux – du moins en principe. Dans son enquête mondiale réalisée auprès des P-DG en 2016, PwC a rendu compte du fait que 55% des P-DG pensent qu’un manque de confiance est une menace pour la croissance de leur entreprise. Mais la plupart font peu de choses pour accroître la confiance, principalement parce qu’ils ne savent pas vraiment par où commencer. Dans cet article, je fournis un cadre scientifique qui les aidera.

Il y a à peu près une décennie, dans un effort pour comprendre comment la culture organisationnelle affecte la performance, j’ai commencé à mesurer l’activité cérébrale des gens pendant qu’ils travaillaient. Les expériences en neurosciences que j’ai dirigées révèlent huit méthodes que les leaders peuvent mettre en place pour gérer efficacement une culture de la confiance. Je décrirai ces stratégies et expliquerai comment certaines organisations les utilisent à bon escient. Mais penchons-nous d’abord sur la recherche scientifique qui sous-tend le cadre général.

Ce qui se passe dans le cerveau

En 2001, j’ai trouvé une relation mathématique entre la confiance et la performance économique. Bien que mon article à propos de cette recherche décrivît les environnements sociaux, juridiques et économiques qui sont à l’origine des différences dans la confiance, je ne pouvais pas répondre à la question la plus élémentaire : pourquoi deux personnes se font-elles confiance de prime abord ? Des expériences menées dans le monde entier ont montré que les humains sont naturellement enclins à faire confiance aux autres – mais ne le font pas toujours. J’ai émis l’hypothèse qu’il devait y avoir un signal neurologique qui indiquait quand nous devions avoir confiance en quelqu’un. J’ai donc entamé un programme de recherche sur le long terme pour vérifier si cela était vrai.

Je savais que l’on avait mis en évidence chez les rongeurs une substance chimique appelée ocytocine qui leur signalait qu’ils pouvaient approcher un autre animal en toute sécurité. Je me suis demandé si c’était aussi le cas chez les humains. Personne n’avait fait de recherches à ce sujet, aussi ai-je décidé d’enquêter. Afin de mesurer objectivement la confiance et sa réciprocité (la fiabilité), mon équipe a utilisé une épreuve de décision stratégique développée par des chercheurs dans le laboratoire de Vernon Smith, lauréat du prix Nobel d’économie. Dans notre expérience, un participant choisit une somme d’argent à envoyer à un étranger via un ordinateur, sachant que le montant triplera et que le destinataire peut choisir de ne pas partager le butin. Là repose le conflit : le destinataire peut soit garder l’argent, soit se montrer fiable et le partager avec l’expéditeur.

Pour mesurer les niveaux d’ocytocine durant l’échange, mes collègues et moi avons mis au point un protocole pour faire une prise de sang aux participants avant et immédiatement après qu’ils aient pris la décision de se fier aux autres (s’ils étaient expéditeurs) ou de se montrer dignes de confiance (s’ils étaient destinataires). Parce que nous ne voulions pas influencer leur comportement, nous n’avons pas parlé du sujet de l’étude aux participants, même s’il n’y avait aucun moyen qu’ils puissent consciemment contrôler l’ocytocine qu’ils produisaient. Nous avons constaté que plus les gens recevaient d’argent (signifiant une plus grande confiance de la part des expéditeurs), plus leur cerveau produisait d’ocytocine. Et la quantité d’ocytocine que les destinataires produisaient prédisait à quel point ils seraient fiables – c’est-à-dire à quel point ils seraient enclins à partager l’argent.

Puisque le cerveau génère des messagers chimiques en permanence, il était possible que nous ayons simplement observé des changements aléatoires de taux d’ocytocine. Pour prouver que l’ocytocine était la cause de la confiance, nous en avons prudemment administré des doses synthétiques dans des cerveaux humains vivants (au moyen d’un spray nasal). En comparant les participants qui avaient reçu une vraie dose avec ceux qui avaient reçu un placebo, nous avons découvert que donner aux gens 24 UI d’ocytocine synthétique faisait plus que doubler la somme d’argent qu’ils envoyaient à un inconnu. En utilisant une variété de tests psychologiques, nous avons montré que ceux qui recevaient de l’ocytocine restaient cognitivement intacts. Nous avons également constaté qu’ils ne prenaient pas de risques excessifs dans des jeux d’argent (Iowa Gambling Task), donc l’augmentation de confiance n’était pas due à une désinhibition neurale. L’ocytocine ne paraissait faire qu’une seule chose – réduire la peur de se fier à un inconnu.

Paul J. Zak

Gestion des Riques et Outils de l’organisation Apprenante

Quelles en sont les grandes lignes et les outils pour que les RM français mettent en place le « risk management intelligent» préconisé par Power (2004, 2007, 2009, 2016) ?

Je les développe dans l’ouvrage coécrit avec Nicolas Dufour. https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

Je vous propose dans les articles suivants des pistes de réflexion pouvant s’appliquer à la gestion des risques. Vous pouvez lire ou relire l’article du blog « Yves Rocher et les NeuroSciences ». Archives du blog Mai 2020.

Vous pouvez lire ou relire l’article posté le 18 novembre relatif à L’Organisation Apprenante.

Je vous propose aujourd’hui un article sur la nécessité elle aussi déjà proposée par Power d’émanciper les managers du déploiement d’informations sous la forme « d’outils formalisés, normés… » qu’il décrit comme une « addition de couches de pseudo confort donnant une illusion de confort. » (p.66 Aubry C., Dufour N., La Fonction Risk Manager)

Emancipons les managers de la machine à reporting !

Tout change – sauf la manière de manager ?

Le monde change…  L’entreprise change… Les expressions « innovation permanente», « agilité organisationnelle» ou « adaptation à un monde globalisé » sont partout présentes. Mais si on parle volontiers des transformations des structures, de l’environnement ou des technologies, les discours sont moins clairs pour ce qui concerne l’évolution du travail des managers. Pourtant, n’est-il pas en train de changer radicalement lui aussi et même plus radicalement que tout le reste ? Car on ne pourra gérer l’entreprise de demain avec des outils supposés innovants, en s’appuyant sur la même façon de définir le rôle et le fonctionnement du management. Selon l’expression des théoriciens de l’Ecole de Palo Alto, on ferait alors « plus de la même chose » : plus de leadership, plus de contrôle, plus de performance, plus de normes ou plus de système d’information… et on compliquerait la gestion sans vraiment la transformer. Comme le notait Paul Watzlawick, le problème serait justement accru par la solution (P. Watzlawick, J. Weakland et R. Fish, Changements : paradoxes et psychothérapie, le Seuil, 1981). Or le problème aujourd’hui, c’est l’immobilisme dans la façon de manager dans un monde qui bouge. Et la solution, c’est le nouveau management qui la trouvera.

Bouleversements dans la création de valeur

Une telle situation n’est pas nouvelle. Déjà, lors des grandes crises économiques précédentes dans les années 1930 ou 1970, c’est le travail des managers qui, en se transformant, a permis la mutation des entreprises. Dans l’entre-deux-guerres, on a assisté à l’émergence du fordisme grâce à l’apparition d’un management qui savait gérer la production de masse. A partir des années 1970, sont apparues des organisations globales permises par un management à partir d’outils de gestion normalisés et, notamment, par la montée en puissance des financiers. Avec la crise des années 2010, nous sommes entrés dans une nouvelle période de transformation des entreprises due à leur définanciarisation : le contrôle systématique et la régulation centralisée des structures matricielles à partir de normes financières sont devenus beaucoup trop coûteux et trop imprécis pour être soutenables. Les systèmes de gestion informatisés représentaient 25% de l’investissement productif français à la fin des années 2000,  ce qui signifie que le quart de l’investissement ne créait pas d’autre valeur que de… contrôler la création de valeur. Les organisations doivent inventer des outils adaptées à des formes organisationnelles plus légères, plus souples.

Le travail humain, quelle que soit la fonction exercée, doit être considéré, non plus comme une ressource parmi d’autres, mais comme la clé de la création de valeur à partir de laquelle se détermine l’investissement. Parallèlement, des technologies issues du web et, bientôt de l’impression 3D obligent à reconcevoir l’organisation des chaînes de valeur d’industries entières, notamment en faveur de productions décentralisées, en très petites séries mais à forte valeur ajoutée locale. Enfin, dans un monde à la fois globalisé et fractionné, on demande à l’entreprise d’être non plus un simple producteur de biens et services, mais aussi une institution qui assure davantage de fonctions sociales et politiques qu’elle seule peut désormais fournir à la société, comme, par exemple, des services de formation voire d’éducation, de gestion des ressources, de sécurisation de l’information ou de régulation de la vie sociale, familiale et personnelle. Continuer de gérer de manière anonyme ou globale par écrans et ratios de gestion interposés, c’est un peu comme regarder la vie à la télé… Le manager doit sortir de son bureau, aller sur le terrain et organiser les activités en proximité avec les équipes. Sans quoi il risque d’apparaître rapidement aussi obsolète qu’un Minitel. Ce nouveau management nécessitera évidemment de vaincre des routines, des résistances… et aussi des impatiences.

Des managers concernés

Car je constate que ces transformations sont aussi attendues par beaucoup de managers, et à tous les niveaux hiérarchiques. D’abord parce que leur travail s’est particulièrement dégradé ces dernières années, qu’il atteint parfois une sorte de limite dans l’absurde. François-Régis Puyo, aujourd’hui chercheur à Audencia, a montré dans sa thèse que plus du tiers du temps de travail d’un cadre consiste à remplir ou discuter des reportings. Or, seules 10% des informations transmises sont utilisées. La crise du sens frappe, sans doute plus que les autres salariés, les managers qui sont à la fois les acteurs et les victimes d’un vaste système de contrôle aussi coûteux que vain. Si on parle de « souffrance au travail », il ne faut pas négliger qu’elle concerne nombre de gestionnaires, y compris au plus haut niveau, qui ont l’impression de travailler dans une absence grandissante d’intérêt pour ce qu’ils font. Pas étonnant que l’on constate une aspiration à s’émanciper de la machine à reporting, pour retrouver la valeur du travail d’encadrement, le développement des compétences et l’encouragement des hommes qui est, pour beaucoup, au cœur de leur vocation de manager.

Ensuite, l’Histoire avance et les entreprises les plus performantes se transforment déjà. Elles remettent en question la lourdeur des matrices organisationnelles et des systèmes de contrôle devenus aveugles à la « vraie vie » des entreprises. Elles introduisent davantage de décentralisation, de souplesse hiérarchique, et de subsidiarité dans leur fonctionnement. PME dynamiques ou grandes entreprises globales, ces entreprises, prennent au sérieux la création de valeur à partir du travail réel de leurs salariés et parfois d’autres parties prenantes comme les clients. Elles innovent vraiment en définissant le management comme un service au plus près de ce travail. En régénérant leur modèle, elles deviennent redoutablement performantes.

par Pierre-Yves Gomez

Economiste, docteur en gestion, directeur de l’Institut français de gouvernement des entreprises à l’EM Lyon. Il a été professeur et chercheur invité à la London Business School. Spécialiste des questions de gouvernance, il  a été à l’origine du code gouvernance des entreprises françaises cotées et directeur de la Société française de management.


Pour une approche globale technique et socio-cognitive de la demarche de gestion des risques. les outils de l’organisation Apprenante

Dans l’article de recherche sur lequel je travaille actuellement j’écris :

« Préférer une logique de soutien à la logique de contrôle qui prévaut à la mise en place de la gestion des risques transformerait la Fonction Risk Manager en instrument de légitimité cognitive. L’accès des RM au terrain serait facilité ; les obstacles associés à la logique de contrôle (manque de communication interne en direction des opérationnels, méfiance vis-à-vis des opérationnels, manque de motivation, de disponibilité et inertie des opérationnels, poids de la sanction venant de la direction) seraient allégés. Cette première dynamique passe par la mise en place d’une approche globale technique et socio-cognitive (Chautru, 2008 ; Aubry et Montalan, 2007). »

Cette idée m’est chère. Elle ressort des entretiens que j’ai pu mener avec des RM. Elle rejoint la mise en place du « risk management intelligent» préconisés par Power (2004, 2007, 2009, 2016) pour que le CRO passe d’un profil de contrôleur à celui de « champion du risque », trajectoire qui constitue un bon indicateur pour la FRM française[1]

Je les développe dans l’ouvrage coécrit avec Nicolas Dufour. https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

Quelles en sont les grandes lignes et les outils ?

  • Orientation de la démarche vers les acteurs de l’entreprise et participation des opérationnels à l’analyse des risques (à l’élaboration des cartographies) via une implication active, l’adoption d’un mode de gestion top-down, le développement d’une communication et d’une information sur les risques.
  • Déploiement d’outils de gestion des connaissances, tels que l’apprentissage, l’analyse rétrospective d’accidents et d’erreurs, le retour d’expérience.
  • Traitement de la question de la sanction.
  • Un prochain travail de recherche proposera un cadre théorique d’analyse de cette approche technique et socio-cognitive et de ses outils, nous permettant d’interroger les RM sur les outils qu’ils ont mis en place ou pourraient mettre en place.

En attendant je vais vous proposer dans les semaines à venir quelques lectures en lien avec cette problématique.

  • Vous pouvez relire l’article du blog « Yves Rocher et les NeuroSciences ». Archives du blog Mai 2020
  • Vous pouvez lire ci-dessous un article relatif à L’Organisation Apprenante. Il propose des pistes de réflexion pouvant s’appliquer à la gestion des risques.

Comment devenir une organisation apprenante

Le 08/07/2020

C’est bénéfique pour le collaborateur et pour l’entreprise.

Dans un monde où le rythme des changements et l’obsolescence des compétences s’accélèrent, où la révolution technologique fait émerger des enjeux inédits de « upskilling-reskilling », où l’évolution des marchés – et des évènements comme la crise sanitaire – imposent une adaptation permanente, progresser en tant que « learning company » est plus que jamais un avantage distinctif. A partir de pratiques recueillies auprès de plus de 50 grands groupes et startups à forte croissance, ainsi que de travaux de recherche, voici un cadre de réflexion et d’action pour ancrer des dynamiques apprenantes dans sept moments clés de l’expérience collaborateur.

1- Intégration

C’est une étape décisive pour accroître la rétention des salariés, en impulsant un rythme d’apprentissage sur plusieurs mois (débutant même avant le premier jour). L’objectif est de :

– faciliter une appropriation de la vision et du métier : « welcome pack » apprenant (livres ou objets suscitant une réflexion en lien avec les valeurs de l’entreprise, par exemple) ou atelier pour s’entraîner à présenter en quelques mots son entreprise. C’est le cas dans la startup ContentSquare, où chaque salarié reçoit une certification liée à l’utilisation de la solution de l’entreprise, à l’issue de ses deux jours d’onboarding.

– susciter, dès le début, une culture du partage et du mentoring, grâce à un accompagnement par un ou plusieurs parrains/marraines, comme chez Buffer (spécialisé dans la publication et l’analyse des campagnes sur les réseaux sociaux), qui abordent avec les nouveaux venus des sujets tels que la culture d’entreprise, l’expertise métier et le management.

– inciter à réfléchir sur soi et son développement professionnel, en intégrant un test de personnalité, un « livret de développement » ou encore des questions réflexives sur sa capacité à apprendre, à partager et à grandir dans l’organisation, comme le fait dès l’entretien de recrutement l’organisme de formation Numa.

2- Les formations internes

Au-delà des programmes formels et des ressources digitales mises à disposition, il est important de créer les conditions pour autoriser, voire sanctuariser, des « espaces-temps » d’apprentissage. Pour cela, il faut instaurer des :

– rituels courts et périodiques, du type « breakfast/lunch & learn », y compris virtuels : des moments d’inspiration avec des intervenants internes ou externes qui partagent leurs « bonnes » pratiques, ou encore des « ateliers philosophiques » sur des thèmes comme l’intelligence collective, comme chez L’Oréal, à destination de la communauté RH ;

– « learning days », organisés dans différents pays et ouverts à tous, combinant des moments d’inspiration en lien avec la stratégie business ou RH, des formations souvent animées en interne, des échanges entre les participants, le tout autour d’une thématique spécifique – comme « we love learning » chez Natixis ;

– événements combinant apprentissage et intelligence collective, comme un hackathon biannuel où les collaborateurs sont invités à imaginer, en équipes pluridisciplinaires et internationales, des réponses à des problématiques business ou sociétales, comme le fait la licorne irlandaise Stripe, la nouvelle plateforme de paiements en ligne.

3- L’auto-apprentissage

L’enjeu est aussi de créer les conditions de responsabilisation des collaborateurs dans leur développement, en écho avec la notion de « maîtrise personnelle », proposée par Peter Senge (directeur du « Center for Organizational Learning », au MIT, et auteur du livre de référence sur l’organisation apprenante « The Fifth Discipline »), pour engager les salariés dans une dynamique permanente d’auto-apprentissage. Cela nécessite en particulier de :

– favoriser la connaissance de soi par des outils et des exercices d’introspection, et proposer des formations pour « apprendre à apprendre » ;

– diffuser régulièrement des offres de formation qui soient personnalisées, en fonction du profil et des intérêts de chacun, en utilisant comme le fait Google des « people analytics » ;

– offrir des « journées de développement », sous forme de « menu » (participation à des conférences ou à des salons, mécénat de compétences), ou encore des « cool days », comme le propose une fois par mois à ses collaborateurs la startup Comet.

– multiplier les approches d’accompagnement individuel : « coaching bar » le vendredi matin, « speed-coaching » avec des coachs externes disponibles par visioconférence, ou encore mise à disposition de coachs internes, comme chez le nouvel assureur santé Alan.

4- L’apprentissage social

L’apprentissage est social par nature : chacun peut être apprenant et formateur auprès de pairs, et cette forme d’apprentissage contribue, deux fois plus que la formation traditionnelle en salle, à l’acquisition de nouvelles compétences et expertises. Comment l’encourager encore davantage ? Il faut pour cela :

– déployer des dispositifs de formation de « peer to peer » et de mentoring à grande échelle pour accélérer le partage de compétences métiers et/ou comportementales entre pairs, comme le fait Air France sur sa communauté de managers ; ou mettre en place des réseaux d’échanges métiers permettant de trouver rapidement la solution à un problème rencontré, comme chez Generali ;

– mettre en place des groupes de co-développement, en présentiel ou à distance, internalisés mais aussi inter-entreprises sur des thématiques ou populations ciblées du type business developers ou responsables marketing, comme le fait la startup iAdvize.

– susciter le partage post formation, comme le propose le « Gandalf Scholarship » de DBSBank, grâce auquel tout collaborateur peut recevoir 1000 dollars pour une formation professionnelle de son choix, à condition de partager ses enseignements à minimum dix personnes.

5- Les modes de travail

Selon une étude récente de France Stratégie (« Les organisations du travail apprenantes : enjeux et défis pour la France », avril 2020), les organisations du travail qui sont réellement apprenantes, notamment en milieu industriel, se caractérisent par trois critères : l’autonomie des collaborateurs, la polyvalence et la résolution de problèmes en équipes. Les départements formation peuvent équiper les managers et leurs équipes pour favoriser de telles pratiques, en mettant en place notamment :

– des rituels d’apprentissages en équipe : temps d’inclusion au début des réunions (comme la « météo personnelle », particulièrement utile en situation de crise), valorisation des efforts (« qu’est-ce qui vous a rendu fiers ce mois-ci ? »), points réguliers sur le fonctionnement d’équipe (présence, place aux questions et émotions,…), sans oublier les « retours d’experience » pour apprendre des succès et des échecs, comme le rituel « Fail, learn, succeed » de Blablacar ;

– des modes de travail propices à l’intelligence collective et à l’innovation, des outils de collaboration, des environnements propices tels que les « creativity rooms », dédiées à l’innovation, ou les murs en « velleda » pour les brainstormings et le management visuel, comme le fait Qonto, la néobanque des entreprises et des indépendants.

6- Le rôle du management

Le rôle du manager d’équipe est clé en matière d’apprentissage individuel et collectif. A condition que ce rôle soit clair, et soutenu par des formations et des outils pour :

– accompagner le développement des collaborateurs : se mettre dans la posture de « manager coach », développée notamment chez Criteo, et intégrer des « boucles d’apprentissage » dans les points réguliers avec les équipes en utilisant, par exemple, la règle du « 5/0/5 » (de Charles Jennings, co-fondateur du « 70 :20 :10 Institute ») : prendre cinq minutes avant une formation d’un collaborateur pour échanger sur son besoin, zéro minute pendant sa formation, et à nouveau cinq minutes après pour décider de la mise en oeuvre des apprentissages reçus ;

– aider à se projeter sur le moyen terme : « conversations de développement », comme chez Danone, pour amener chaque collaborateur à révéler ses talents – avec un guide introspectif -, réfléchir à son projet professionnel et bâtir un plan de développement ;

– instaurer des « moments d’apprentissage » réguliers : au sein d’une équipe (tous les trimestres, par exemple, chez Leroy Merlin), afin d’apprendre ensemble sur une nouvelle thématique ou de réaliser un partage d’expérience ; ou plus largement, des rituels d’entreprise, comme « DEAL – Drop Everything And Learn » chez le spécialiste de la formation en ligne Udemy.

 7- La mobilité interne et externe

L’évolution de carrière et l’expérience opérationnelle sont parmi les plus importantes sources d’apprentissage. Comment multiplier les occasions ? Grâce notamment à :

– des programmes d’immersion en externe (startups, associations…) ou en interne, comme « l’Open Talent Market » mis en place par Schneider Electric, qui vise à créer des liens entre les souhaits de développement des collaborateurs et les opportunités de vivre une nouvelle expérience, au sein de l’entreprise : missions à temps partiel ou à temps complet, contribution à un projet, rôle de formateur ;

– des entretiens approfondis lors des départs, afin de clôturer positivement la collaboration et améliorer, grâce aux feedbacks, l’expérience collaborateur – et ainsi la marque employeur – comme chez ManoMano, le leader du bricolage en ligne, où tous les départs sont célébrés ;

– l’animation d’un réseau d’anciens, permettant aux alumni de continuer à se développer en s’appuyant sur cette communauté, et à l’entreprise de bénéficier d’un réseau d’ambassadeurs, voire de formateurs expérimentés, à l’image de McKinsey qui fédère un réseau de 34 000 alumni à travers le monde.

Si la question « pourquoi devenir une organisation apprenante ? » est du ressort de chaque entreprise, celle du « comment » fait appel à plusieurs dimensions, qui sont, elles récurrentes : la vision (source de motivation intrinsèque pour les individus et les équipes), la culture (pour instaurer un « growth mindset »), les politiques de formation bien sûr, et enfin l’organisation et le management, une dimension bien souvent trop peu exploitée et pourtant clé dans les dynamiques d’apprentissage.

Par Thierry BonettoMorgan Baivier de Fortis


[1] La fonction est ancienne et les acteurs sont déjà structurés ; créée par General Electric en 1993, elle est présente dans la majorité des grandes entreprises (dans tous les secteurs) ; elle est promue par trois associations professionnelles (International Federation of Risk and Insurance Management Association (IFRIMA), Public Risk Management Association (PRIMA), Risk and Insurance Management Society (RIMS)) qui assurent sa diffusion en déployant leurs actions dans trente pays, proposant des formations qualifiantes et assurant des certifications de compétences identifiées et reconnues par les entreprises. Elle fait l’objet d’une littérature abondante.