Archives pour la catégorie E.R.M
RISQUE GEOPOLITIQUE (1). UN POINT. UN MEDLEY DE RESSOURCES A ECOUTER ET LIRE
Mes premiers contenus du blog sur le risque géopolitique datent de 2023.
Ils étaient dictés par la place grandissante de ce risque dans les préoccupations des entreprises, en lien avec la guerre en Ukraine.
Ils avaient pour objectifs de :
- Lire le risque géopolitique à travers la grille de lecture des cinq facteurs qui font que le risque est devenu une variable stratégique de la réflexion des organisations et notamment de l’identifier comme un risque potentiel.
- D’aider à parler de ce risque de manière structurée – c’est ce que j’enseigne à mes étudiants de master -.
- Nommer le risque en le rattachant à une typologie ; ici celle de l’AMRAE : RISQUES STRATEGIQUES EXTERNES / Pays et Macroéconomie / politique, guerre, terrorisme…;
- Evaluer le risque : Probabilité élevée / Impact fort.
- D’illustrer la transversalité du risque : le risque géopolitique est par exemple une des causes du risque de supply-chain.
- De boucler (conclure) sur la démarche Enterprise Risk Management, globale et transversale et le rôle du Risk Manager (RM) que je qualifiais alors d’Architecte de la gestion des risques ; le risque géopolitique est dans le périmètre de celui-ci.
Pourquoi en reparler aujourd’hui ?
- Deux partages récents m’ont passionnée et rappelé à quel point les relations internationales m’intéressaient pendant mes années Sciences PO Paris dans la conférence de François Sureau.
- La Conférence « Indopacifique : enjeux et défis » organisée le 31 janvier 2026 par le Master ISSD de l’Université de Toulouse et qui positionnait via des cartes les trois grands acteurs
- Le webinaire « Point de situation au Moyen Orient. Attaques en Iran et dans le golfe persique, quelles conséquences pour les entreprises ? » organisé par l’AMRAE le 6 mars 2026 et disponible sur son site pour les adhérents.
Le risque géopolitique n’est plus un évènement exceptionnel à gérer en marge. Il est une contrainte permanente de décision.
- Une préoccupation affichée par les entreprises
Pour la première fois en 2026, le risque géopolitique figure également parmi les dix principales préoccupations dans la nouvelle Enquête mondiale sur la gestion des risques d’AON.
- Une préoccupation dont on peut prédire qu’elle va encore croître dans le baromètre ALLIANZ 2027 (à paraître en janvier) suite à la campagne militaire conjointe des Etats-Unis et d’Israël contre l’Iran le 28 février 2026.
- Une criticité plus élevée. Probabilité très élevée (voire même proche de l’inconnu pour R. de Vittoris interviewé par L.Girardot ; le propre d’un risque potentiel). Impact très fort
- Une transversalité que la crise actuelle permet d’illustrer ; non pas un risque mais des risques (voir note blanche publiée sur LinkedIn par Th. Lafon le 1er mars 2026) ; pour les entreprises françaises :
- Risque énergétique et matières premières
- Risque logistique et chaîne d’approvisionnement (Risque supply-chain)
- Risque financier et assurantiel
- Risque cyber
- Risque sécurité des personnels
- Risque réglementaire et de conformité
Je boucle sur des préconisations.
- La démarche ERM est nécessaire. Pour une description détaillée des 5 étapes de celles-ci et des outils utilisés : voir Aubry C., Dufour N., « Risk Management. Démarche, méthodes, outils et acteur clé de la gestion des risques. », Editions Gereso, février 2026.
- Les dirigeants et un RM que je qualifie de Pilote de la gestion des risques, dont nous analysons l’activité, la place dans l’organisation et les compétences dans ce même ouvrage, doivent piloter le risque géopolitique.
J-Ch Antoine-Noirel écrit sur LI que « dans beaucoup d’organisations, le risque géopolitique est externalisé avec l’aide d’experts ponctuels, ou dispersé entre le juridique, la compliance, la sûreté ou les affaires publiques ou encore pris en compte et étudié uniquement lorsque la crise éclate…l’année 2026 fera émerger des entreprises qui auront intégré le risque à différentes étapes de leur process de décision…Il est tellement plus simple de mettre en place des KPI à thématique géopolitique, avec des seuil d’actions pour prendre des décisions…et s’y tenir. »
Dans deux semaines Risque géopolitique (2). Crise Iran. Illustration de la démarche de gestion des risques sur la logistique et la chaine d’approvisionnement.
UNE RESSOURCE A ECOUTER
Le Monde selon l’IFRI
Les entreprises à l’épreuve du risque géopolitique
Trente-trois minutes d’écoute
Au programme de ce podcast, Thomas Gomart, directeur de l’Ifri :
- Revient sur la distinction entre risque pays et risque géopolitique et propose des définitions du risque géopolitique.
- Dresse une généalogie du risque géopolitique en interrogeant la constitution de celui-ci : il
- date et explique sa naissance ;
- identifie l’enjeu de sa gestion et les acteurs qui ont contribué à sa naissance ;
- fait des recommandations sur sa gestion.
DES RESSOURCES A LIRE (antérieurs à la crise en Iran).
Extraits d’articles
Après Davos, les tensions géopolitiques s’imposent à l’agenda des risk managers
Les professionnels du secteur se réunissent à Deauville du 4 au 6 février sur fond de crises géopolitiques. Alors que les tarifs d’assurance sont en baisse, particulièrement dans le cyber, la situation internationale très volatile devrait peser sur les discussions.
Par Thibaut Madelin
Publié le 4 févr. 2026
Menace d’annexion du Groenland par Donald Trump, enivré par son enlèvement du président vénézuélien Nicolas Maduro, tensions persistantes au Moyen-Orient (Gaza, Iran), nouvel hiver sous les bombes russes en Ukraine, attaque informatique contre La Poste, pénurie de puces Nexperia dans l’automobile, incendies en Australie, instabilité politique dans une France surendettée…
Après Davos fin janvier, rarement le climat n’aura été aussi intense pour les professionnels du risque, qui se réunissent du 4 au 6 février à Deauville à l’occasion des rencontres annuelles de l’Association pour le management des risques et des assurances de l’entreprise (Amrae). Et leur fonction aussi clef pour des groupes français soucieux d’aller chercher la croissance à l’étranger sans ignorer les dangers.
Baisse des prix
Pourtant, malgré ce contexte anxiogène qui devrait théoriquement faire exploser les prix d’assurance, c’est l’inverse qui se produit. « Nous sommes dans un marché favorable aux acheteurs d’assurances, déclare Denis Bicheron, directeur des placements CRB chez WTW France. Il y a une capacité abondante et des prix qui baissent quasiment sur toutes les lignes. »
L’expert cite des baisses de 10 à 15 % dans l’assurance dommage des entreprises ou encore de 25 à 30 % sur les lignes financières, qui incluent le cyber ou la responsabilité civile des mandataires sociaux. A l’origine : les bons résultats techniques enregistrés par les assureurs (et les réassureurs), qui vont du coup chercher des affaires chez les autres en baissant leurs prix, explique l’expert.
…
Les autres risques, dont celui lié au climat, n’ont pas disparu, mais c’est bien les tensions internationales qui dominent les débats. « Le risque géopolitique, ce n’est plus un bruit de fond, c’est vraiment au centre de l’agenda des Comex et des conseils d’administration, insiste Oliver Wild, vice-président de l’Amrae et directeur des risques et des assurances de Veolia. C’est vraiment un facteur de rupture majeure. »
Consolidation
Les polices d’assurance dommages standard excluent généralement la couverture des guerres et des guerres civiles, mais des produits spécifiques existent, comme les couvertures « CEND » (Confiscation, Expropriation, Nationalisation & Privation) ou les polices Violences Politiques. Jusqu’ici, leurs prix n’ont pas flambé, constate Denis Bicheron. « Si le marché reste stable, la persistance de tensions géopolitiques majeures et inédites depuis la Seconde Guerre mondiale incite à la prudence quant à la pérennité de la situation », admet-il cependant.
L’évolution dépendra des humeurs du président américain, mais aussi du marché. « Il y a aujourd’hui un décalage entre ce que les entreprises attendent des assureurs et ce que ces derniers leur proposent », constate Grégoire Dutertre, président de la commission géopolitique de l’Amrae et risk manager de Sonepar. Il cite les exclusions de zones géographiques, les prix et les franchises élevés, mais reconnaît que les entreprises doivent aussi professionnaliser leur gestion du risque géopolitique…inquiétud
Comment les entreprises s’organisent face à l’escalade des risques de guerre
Alors que les tensions géopolitiques s’intensifient, les entreprises françaises ne peuvent plus ignorer ces nouveaux risques. Beaucoup ont déjà révisé leur stratégie d’investissement, mais elles doivent aussi se prémunir contre les menaces de guerre militaire et hybride.
Par Jeanne Bigot
Publié le 4 févr. 2026
Conflits armés, droits de douane exceptionnels, attaques cyber, contraintes politiques sur l’investissement… Depuis plusieurs années, les risques géopolitiques s’intensifient et pèsent sur les entreprises, y compris en France. « Longtemps, l’entreprise mondialisée a optimisé ses chaînes de valeur comme un pur problème de coût et d’efficacité, en considérant que la mondialisation assurait une relative stabilité politique, observe Stéphane Auray, professeur d’économie à l’Ecole nationale de la statistique et de l’analyse de l’information, et à Rennes School of Business. Aujourd’hui, ce constat vole en éclat. »
Pour faire face, les cellules de veille géopolitique montent en puissance au sein des entreprises, de même que certaines fonctions comme les managers du risque géopolitique. Leur premier objectif est d’identifier les vulnérabilités. Actuellement, sur le sol français, les risques physiques comme la destruction d’actifs, l’interruption d’activité, l’expropriation, ou même la mobilisation et la sécurité du personnel, sont limités. Rares sont ceux qui les anticipent de manière opérationnelle, bien que certains exploitants d’infrastructures critiques (énergie, transport, finance…) développent des scénarios prospectifs et plans de continuité.
Risques physiques, hybrides et géoéconomiques
« Cependant, le risque géopolitique ne se limite pas aux conflits armés : il existe toute une échelle de déviance par rapport à ce que l’on pourrait espérer être la norme dans une situation de concurrence économique mondiale », note Sébastien Jean, professeur en économie au CNAM et directeur délégué du programme Géofinance à l’Institut français des relations internationales (Ifri).
En effet, parmi les menaces géopolitiques les plus prégnantes se trouvent les risques dits « hybrides » comme les cyberattaques, les fuites ou prises en otage de données, la désinformation, ou encore les attaques à la réputation…
Désormais, certains grands groupes ont intégré les risques géopolitiques dans leur stratégie de gouvernance, mais il ne s’agit pas d’une vérité générale. « La sensibilisation à ces questions est très variable, reprend Sébastien Jean. Cependant, la prise de conscience doit être à la hauteur des enjeux, qui peuvent devenir de premiers ordres : il faut y consacrer des efforts spécifiques. »
Anticipation et résilience
Aujourd’hui, déjà, la grande majorité des choix d’implantation à l’étranger sont liés aux grands événements géopolitiques. D’après le rapport de la Conférence des Nations unies sur le commerce et le développement, la proportion des projets d’investissements étrangers directs entre pays géopolitiquement distants a reculé, passant d’environ 23 % en 2013 à 13 – 15 % au début des années 2020, tandis que les projets réalisés entre pays alignés et au sein d’une même région continuent d’augmenter. « Aujourd’hui, la géopolitique pèse autant dans les investissements que les coûts de production ou la taille du marché », note Stéphane Auray…
Prévenir le risque géopolitique : l’impossible défi des banques
Les banques, fortement internationalisées, vont devoir s’adapter à la fin de la « fiction agréable » décrite par le Premier ministre canadien, Mark Carney, dans son discours de Davos. Les canaux de contagion entre le géopolitique et la finance sont nombreux.
Publié le 13 févr. 2026
Jusqu’ici, tout va bien. Lors de leurs publications annuelles, les banques françaises ont enchaîné les résultats record, comme la plupart de leurs concurrentes européennes. C’est comme si les tourments du monde étaient sans prise sur le secteur financier. Lors des conférences de résultats, aucun signe d’inquiétude n’a pu transparaître des états-majors des banques face au risque géopolitique.
Par rapport aux industries du luxe, de l’agroalimentaire ou de l’automobile, frappées de plein fouet par les droits de douane, le secteur bancaire ne serait impacté que de manière indirecte, notamment si le ralentissement économique entraînait une dégradation de la qualité du crédit. Mais pour combien de temps ?
On imagine difficilement, en effet, que les banques soient totalement épargnées par la fin de la « fiction agréable » et le début de la « réalité brutale » que le Premier ministre canadien, Mark Carney, a décrites dans son discours de Davos, si révélateur du basculement actuel qu’il en est devenu viral.
Le risque géopolitique au coeur des priorités de la BCE
Ce n’est pas pour rien si la Banque centrale européenne (BCE) a renforcé son niveau de vigilance concernant le risque géopolitique dans ses priorités pour les trois années à venir, publiées en début d’année. Dans ce document, le superviseur s’inquiète que l’absence de grande faillite bancaire dans la zone euro ces dernières années malgré l’accumulation de chocs (Brexit, Covid, Ukraine…) puisse alimenter une forme de complaisance face au risque de crise financière.
En cas de nouveau scénario extrême, les Etats risquent de ne pas être en mesure de venir au secours de l’économie comme ils l’ont fait pendant la pandémie, prévient-il, en raison du « niveau élevé de dépenses publiques et des contraintes budgétaires » actuelles dans certains pays. A Francfort, certains responsables de la supervision reconnaissent eux-mêmes avec humour qu’ils « sont payés pour être pessimistes ». Comme un soupçon de pessimisme vaut mieux qu’un excès de confiance, la BCE a demandé aux banques de se soumettre à des « stress tests » géopolitiques.
Mais au lieu de leur appliquer des scénarios extrêmes pour voir si les établissements bancaires peuvent absorber ces chocs, comme lors des traditionnels tests de résistance, la BCE va cette fois procéder à l’exercice inverse. Les 110 établissements supervisés vont devoir identifier quels événements pourraient conduire à une baisse drastique de leurs ratios de fonds propres (CET1), à hauteur de plus de 300 points de base.
Ces « stress tests inversés » n’ont pas manqué de susciter des réactions circonspectes de la part des banquiers, toujours enclins à dénoncer le zèle des superviseurs. « On me demande de modéliser l’impact de la fin du monde sur les comptes de la banque », soupirait récemment le dirigeant d’un grand établissement. Un chroniqueur du « Financial Times » a comparé cet exercice à un « atelier d’écriture collaborative de fiction dystopique »…
Scénarios de crise
Cela peut concerner le refinancement en dollar des banques européennes par le biais d’accords de « repo » et de swaps de devises, la dépendance à un acteur du cloud basé hors de l’UE, ou encore l’utilisation des réseaux de paiement comme moyen de rétorsion. On en a déjà vu un aperçu, lorsque le juge français de la Cour pénale internationale (CPI), Nicolas Guillou, a été placé sous sanctions américaines l’été dernier pour avoir autorisé l’émission par la CPI de mandats d’arrêt contre le Premier ministre israélien, Benyamin Netanyahou.
Le scénario le plus extrême reste sans doute celui des sanctions : gels d’actifs, retraits de licence bancaire… Les banques occidentales présentes en Russie en ont fait la douloureuse expérience….
LA PANNE D’ELECTRICITE EN ESPAGNE (2) : UNE NOUVELLE LECTURE POUR EN SAVOIR DAVANTAGE
Le dernier contenu de mon blog portait sur la panne d’électricité en Espagne intervenue le 28 avril 2025 ; il a été l’occasion de revenir sur :
- Ce qu’est un Risque Potentiel
- La nécessité d’avoir dans toutes les organisations une démarche de gestion des risques de type ERM et une Fonction Risk Manager légitime.
Pour approfondir votre analyse de cet évènement, je vous invite aujourd’hui à lire :
- Le post d’A. Fournier, expert en simulation de crise et gestion de crise, publié sur LinkedIn au sujet du black-out en Espagne et au Portugal
- Le numéro spécial de la revue Crise & Résilience qui lui est consacré ; à lire en suivant le lien vers LI.
Post LinkedIn
« Le 28 avril 2025, un black-out massif a plongé l’Espagne et le Portugal dans l’obscurité, affectant près de 60 millions de personnes.
⚡ Black-out : une menace invisible, mais bien réelle ! ⚡
Imaginez : plus d’électricité, plus d’internet, plus de communication.
Un black-out électrique ou informatique peut paralyser en un instant les entreprises, les services publics et nos vies quotidiennes.
Pourquoi cette menace est-elle plus actuelle que jamais ?
Hyperdépendance aux technologies : tout repose sur des infrastructures interconnectées.
Cyberattaques ciblées : les réseaux électriques et informatiques sont des cibles stratégiques.
Effet domino dévastateur : transport, santé, communication, économie… tout est impacté.
Ce dossier vous donne les clés pour vous préparer à un scénario catastrophe :
✅ Comprendre les causes et les impacts d’un black-out.
✅ Identifier les secteurs les plus vulnérables.
✅ Adopter des stratégies de résilience et de continuité.
Se préparer à un black-out n’est plus une option, mais une nécessité.
Découvrez les mesures essentielles à mettre en place dès maintenant.
📢 Votre entreprise est-elle prête à affronter une panne généralisée ?
Partageons nos réflexions en commentaire ! 👇
hashtag#MagazineCriseEtRésilience hashtag#BlackOut hashtag#GestionDeCrise hashtag#Résilience hashtag#CyberSécurité hashtag#ContinuitéDesAffaires hashtag#RSSI hashtag#CISO hashtag#DSI hashtag#Blackout »
Nouvelle lecture
Numéro spécial de la Revue Crise & Résilience
L’AFFAIRE DES EAUX CONTAMINEES DE NESTLE ANALYSEE SOUS L’ANGLE DE LA GESTION DES RISQUES : UN CAS D’ECOLE
L’affaire des eaux contaminées de Nestlé devient un cas d’école qui me permet d’illustrer quelques éléments importants dans mes cours sur le risque et la gestion des risques. À partir des conclusions du rapport de l’enquête sénatoriale présentés dans un article des Echos que vous pourrez lire ci-dessous et de deux articles parus dans ce même quotidien, je vous propose de revenir et d’actualiser des éléments que j’ai déjà évoqués sur mon blog :
✨ Le risque éthique
🙈 La défaillance de l’Etat français comme amplificateur des risques
🚩 L’impact de ce risque pour Nestlé.
🏅 Les plans d’actions possibles pour Nestlé et pour l’Etat français.
Le risque éthique
L’éthique est la mise en pratique quotidienne des valeurs de l’entreprise et plus largement le respect des valeurs humaines et sociétales. Elle se décline en deux dimensions : d’une part le développement durable – le risque éthique est alors proche du risque environnemental -, d’autre part la gouvernance – il s’agit alors du respect des engagements de transparence, de prise en compte des parties prenantes et d’ouverture aux besoins de l’environnement global (concurrentiel, réglementaire, sociétal…) dans lequel opère l’organisation -. J’ai déjà utilisé cette appellation concernant Lubrizol, Nike ou encore Lafarge. Je l’ai également utilisé pour qualifier l’affaire des eaux contaminées dans une tribune publiée dans Le Monde le 14 octobre 2024.
La contribution au déficit de la nappe phréatique de la commune de Vittel (Vosges), qui se retrouve à importer de l’eau potable des centres voisins, relève du risque éthique dans sa première dimension : elle porte atteinte à l’environnement.
Le non-respect de la réglementation européenne interdisant la désinfection des eaux minérales, l’aveu de traitements tels que les ultraviolets et les filtres au charbon actif, la mise en doute de la qualité sanitaire des sources Vittel, Contrex, Hépar et Perrier (bactéries, matières fécales, pesticides…) par l’Agence nationale de sécurité sanitaire et l’Agence régionale de santé Occitanie relèvent de sa dimension gouvernance.
Le rapport de l’enquête sénatoriale paru le 19 mai 2025 est sans appel et confirme l’appellation de risque éthique dans sa deuxième dimension : la falsification et la dissimulation sont avérées. Il permet d’aller plus loin. Alors que je disais lors d’une interview en octobre 2024 que « l’accumulation d’affaires concernant Nestlé n’avait rien à voir avec une quelconque malchance mais qu’il y avait forcément quelque chose qui n’était pas en place, soit qui entravait la remontée d’informations, soit qui n’en tenait pas compte », le rapport conclue que la falsification et la dissimulation étaient connues de la gouvernance. Les Echos écrivent qu’il s’agissait d’une « stratégie délibérée ».
La défaillance de l’Etat français
La défaillance de l’Etat dans son rôle d’amplificateur de risques est également confirmée. Le rapport de l’enquête sénatoriale conclue à la complicité de l’Etat au plus haut niveau.
Quel est l’impact de ce risque pour Nestlé ?
Dans la tribune publiée dans le Monde le 14 octobre 2024, je concluais à un coût économique fort, à un coût en termes de réputation fort mais à un coût juridique modéré. L’impact de l’affaire des eaux contaminées peut-il passer de fort/fort/modéré à très fort/très fort/modéré et ainsi accroître la criticité du risque éthique pour Nestlé ?
Le Préfet du Gard doit se prononcer d’ici le 7 août sur le renouvellement de l’autorisation de Perrier.
Pour D. Barroux (Les Echos, 13 mai 2025), cela condamnerait Nestlé Waters à mort.
Pour d’autres, cela n’aurait qu’un impact circonscrit sur le coût économique et le coût en termes de réputation.B. Basini (Les Echos, 8 mai 2025) relaie les propos d’un ancien salarié du groupe : « « On a coutume de dire que la France c’est moins de 4 % du chiffre d’affaires mondial et 100 % d’emmerdements… Mais l’erreur, c’est de croire que ces affaires sont graves financièrement pour le groupe. » » Dans ce même article, elle écrit également :« Certes, la présence de nouvelles contaminations dans les bouteilles Perrier de l’usine de Vergèze (Gard), risque de provoquer le retrait du label « eau minérale naturelle » de la marque. Certes, la scène de l’audition des dirigeants restera difficile à effacer. Mais, pour un groupe qui met sur le marché plus de 1 milliard de produits par jour, le scandale des eaux françaises reste un dommage circonscrit… Rencontré mi-mars lors d’un de ses passages à Paris, Laurent Freixe en faisait lui-même le constat : « Dans beaucoup de pays du monde, nous sommes la référence absolue, la confiance est là. Dans les eaux en bouteille, notre capacité à produire ne suit pas la demande. » Elle poursuit en nous donnant une piste vers le plan d’action envisagé par le groupe : « Devenue moins porteuse, l’activité eaux, qui ne représente plus que 3,5 % du chiffre d’affaires global, a été filialisée le 1er janvier dernier. De quoi faciliter sa sortie du portefeuille des actifs stratégiques. Même si, devant la commission d’enquête sénatoriale, le dirigeant a juré qu’il voulait conserver le « patrimoine unique » que représente Perrier, sa marque la plus emblématique, ce sera en conduite accompagnée, avec un partenaire. Comme c’est déjà le cas pour les pizzas surgelées Buitoni depuis deux ans. »
Le deuxième amplificateur de risques – médias traditionnels, réseaux sociaux, médias alternatifs – joue son rôle : articles quotidiens dans les journaux économiques relayées sur les réseaux sociaux, ONG et associations de consommateurs mobilisées, humoristes devant un auditoire important (C. Vanhoeneker sur France Inter, W. Dia dans son dernier spectacle par exemple). Mais « la France ne représente que 4% du chiffre d’affaires. »
Au-delà du mea-culpa ou de la mise en conduite accompagnée de Perrier qui sont des actions de défense quels plans d’actions pour Nestlé ?
Pour desserrer l’étau autour de Perrier, Nestlé pourrait commencer par mettre en place les 28 recommandations du rapport d’enquête sénatoriale.
Pour réduire la fréquence des affaires, la nouvelle gouvernance de Nestlé pourrait soutenir une démarche de gestion des risques de type ERM et s’impliquer à mettre en place une Fonction Risk Manager (FRM) légitime pour la piloter. Je développe cette démarche de gestion des risques et le rôle d’une FRM managériale, architecte de la démarche ERM dans tous mes travaux.
Quel plan d’action pour L’Etat ?
L’Etat français pourrait suivre la recommandation de D. Barroux : « Premier exportateur d’eaux minérales, la France qui condamne aujourd’hui Nestlé ne devrait-elle pas se battre à l’échelle européenne pour qu’un cadre précis tenant compte de l’impact du changement climatique sur les nappes phréatiques encadre de façon homogène l’activité des « minéraliers » ?
A lire :
L’article ci-dessous.
L’article de B.Basini « Nestlé : Laurent Freixe, who else ? », Les Echos, 8 mai 2025.
L’article d’A. Vallez « Nestlé, le géant par lequel le scandale arrive », Capital, décembre 2024.
A lire pour en savoir plus sur les risques, la gestion des risques et la Fonction Risk Manager :
L’ouvrage co-écrit avec N. Dufour « Risk Management. Organisation et positionnement de la Fonction Risk Manager. Méthodes et Gestion des risques. » Editions Gereso. 293 pages, 18,99 à 27 euros.
Eaux minérales : l’enquête sénatoriale dénonce « une dissimulation » par l’Etat
Les conclusions de la commission d’enquête sénatoriale sur les eaux en bouteille accablent l’Etat et Nestlé Waters. A la demande du géant suisse, les services de l’Etat auraient modifié un rapport soulignant des contaminations des sources Perrier.
Nouvelles révélations fracassantes dans l’affaire des eaux en bouteille. Plus d’un an après la révélation de traitements illicites en particulier chez Nestlé Waters (Perrier, Hépar, Contrex), la commission d’enquête sénatoriale sur les pratiques des industriels de l’eau en bouteille a rendu ses conclusions ce lundi. Et elles montrent « les liaisons dangereuses Etat-Nestlé » , selon une expression du rapporteur, Alexandre Ouizille (PS, Oise).
L’enquête révèle comment un rapport de l’agence régionale de santé (ARS) d’Occitanie a été édulcoré à la demande du numéro un mondial des eaux en bouteille. A la suite d’échanges entre le cabinet de la ministre déléguée à la Santé (à l’époque Agnès Firmin Le Bodo), le directeur général de l’ARS et le préfet du Gard, des modifications ont été réalisées « afin de dissimuler la contamination de forages contaminés par des bactéries, mais aussi des herbicides et des métabolites de pesticides, parfois interdits depuis des années », accuse le rapport.
« Une stratégie délibérée »
« Outre le manque de transparence de Nestlé Waters, il faut souligner celui de l’Etat, à la fois vis-à-vis des autorités locales et européennes et vis-à-vis des Français […] Cette dissimulation relève d’une stratégie délibérée, abordée dès la première réunion interministérielle sur les eaux minérales naturelles le 14 octobre 2021. Près de quatre ans après, la transparence n’est toujours pas faite », dénonce ce rapport rendu public lundi après six mois de travaux et plus de 70 auditions.
Nestlé Waters, dont la direction assure avoir découvert fin 2020 sur ses sites Perrier, Hépar et Contrex l’usage de traitements interdits pour de l’eau minérale, avait sollicité à ce sujet mi-2021 le gouvernement, puis jusqu’à l’Elysée. Selon le minéralier, il s’agissait d’« assurer la sécurité sanitaire » des eaux lors d’épisodes de contaminations bactériologiques de forages.
Dix-huit mois plus tard, un plan de transformation de ses sites était approuvé par les pouvoirs publics, remplaçant les traitements interdits (UV, charbon actif) par une microfiltration fine par ailleurs controversée car à même de priver l’eau minérale de ses caractéristiques. Or le droit européen stipule qu’une eau minérale naturelle ne peut faire l’objet d’aucune désinfection ou traitement de nature à modifier ses caractéristiques. « Malgré la fraude aux consommateurs que représente la désinfection de l’eau, les autorités ne donnent pas de suites judiciaires à ces révélations » de 2021, souligne le rapport.
L’Etat au courant au moins depuis 2022
Les sénateurs déplorent ensuite une « inversion de la relation entre l’Etat et les industriels en matière d’édiction de la norme » : « Nestlé Waters adopte une attitude transactionnelle, posant explicitement l’autorisation de la microfiltration à 0,2 micron comme condition à l’arrêt de traitements pourtant illégaux. »
« En définitive, c’est au plus haut niveau de l’Etat que s’est jouée la décision d’autoriser une microfiltration sous le seuil de 0,8 micron », au terme d’une « concertation interministérielle », « dans la continuité des arbitrages pris par le cabinet de la Première ministre, Elisabeth Borne, mais sans que celle-ci ne semble informée », note le rapport.
« De son côté, la présidence de la République, loin d’être une forteresse inexpugnable à l’égard du lobbying de Nestlé, a suivi de près le dossier », ajoute la commission, qui se base sur « des documents recueillis par ses soins » : elle « savait, au moins depuis 2022, que Nestlé trichait depuis des années ». Alexis Kohler, à l’époque secrétaire général de l’Elysée, avait lui aussi reçu les dirigeants de Nestlé.
28 recommandations
Parmi les conséquences de cette gestion du dossier, le rapport note que l’industriel a pu continuer à commercialiser son eau sous l’appellation – lucrative – d’eau minérale naturelle. Aujourd’hui, Perrier attend la décision de renouvellement de son autorisation d’exploiter la source comme « eau minérale naturelle ».
Alors que des hydrogéologues mandatés par l’Etat ont rendu un avis défavorable, la préfecture du Gard doit se prononcer d’ici au 7 août et, en attendant, a donné deux mois au groupe pour retirer son système de microfiltration, estimant qu’il « modifie le microbisme de l’eau produite, en contradiction avec la réglementation ». Nestlé dit disposer de solutions alternatives, qu’il souhaite proposer aux autorités.
Le rapport note que malgré les révélations d’il y a un an, il n’y a pas, à ce jour, « de vérifications exhaustives de l’absence de traitements interdits sur tous les sites de production d’eau conditionnée ». Il préconise ainsi, parmi 28 recommandations, un suivi qualitatif des nappes, « un contrôle effectif du niveau de prélèvement réalisé par les minéraliers », un meilleur étiquetage pour les consommateurs.
Les Echos, avec AFP
Publié le 19 mai 2025
INTELLIGENCE ARTIFICIELLE-GESTION DES RISQUES-RISK MANAGER
Un parcours dédié et 4 conférences consacrées à l’IA lors des Rencontres Annuelles de l’AMRAE – Association pour le Management des Risques et des Assurances de l’Entreprise -. C’est dire l’actualité du sujet, sa complexité et donc la nécessité pour les Risk Managers de se mobiliser.
Dans un précédent contenu :
- Je vous ai présenté l’IA comme un risque avec une connotation de « danger » et une opportunité pour les organisations, en faisant référence à la lecture du chapitre 1 de notre ouvrage vous éclairera sur ce point. « Risk Management. Organisation et positionnement de la Fonction Risk Manager. Méthodes et Gestion des risques. » Editions Gereso. 293 pages, 18,99 à 27 euros
- Je vous ai proposé d’écouter l’interview de Bénédicte Huot de Luze aux Echos. Elle vous permet de :
✅ Découvrir une traduction du terme même d’IA, moins magique mais plus proche de la réalité. Un Système de Renseignements Augmentés.
✅ D’approcher son apport sur l’activité Assurance de la Fonction Risk Manager. Un terrain privilégié.
✅ D’y voir l’importance de l’humain pour qu’elle soit une opportunité. Approche Socio-cognitive.
✅ D’avoir un cadre clair pour aborder l’IA dans l’activité de gestion des risques.
Aujourd’hui je souhaiterais zoomer via l’article ci-dessous sur la nécessité pour les organisations et donc les Risk Managers de mettre en place une démarche de gestion des risques qui permette :
✅ D’identifier les risques liés au développement de l’IA
✅ De les évaluer et les maîtriser.
Cet article revient sur l’IA comme outil susceptible d’aider les Risk Managers. On retrouve l’idée de l’IA, opportunité.
COMMENT LES RISKS MANAGERS INTÈGRENT L’IA
Les Risk Managers, ces préventeurs chargés d’anticiper et de gérer les risques financiers, opérationnels et de conformité, et d’être les coordinateurs de cette gestion des risques dans leur entreprise, ont nécessairement dû identifier l’IA à la fois comme un nouvel ensemble de risques, mais aussi comme une aide précieuse pour exercer leur fonction. Petit tour d’horizon de leurs préoccupations sur ce sujet.
Quels sont les risques identifiés liés à l’IA ?
Au titre des risques potentiels que l’Intelligence artificielle peut créer, citons notamment (et la liste nous a été soufflée par une IA générative) : Les biais algorithmiques : les algorithmes d’IA peuvent reproduire et amplifier les biais présents dans les données d’entraînement.
L’opacité des décisions : certains modèles d’IA, en particulier ceux basés sur le deep learning, peuvent être difficiles à expliquer, ce qui rend les décisions qu’ils prennent opaques et potentiellement non conformes aux réglementations.
La protection des données : l’utilisation de l’IA implique souvent la collecte et le traitement de grandes quantités de données personnelles, ce qui soulève des préoccupations concernant la confidentialité et la sécurité des données.
La responsabilité : en cas de décision préjudiciable ou d’erreur causée par un système d’IA, il peut être difficile d’attribuer la responsabilité, en particulier lorsque les décisions sont prises de manière autonome par l’algorithme.
On peut également penser (et la liste nous a été soufflée par un spécialiste du risk management) [1] : au risque social associé à la robotisation et l’automatisation des activités,
aux risques psychosociaux liés aux pertes des points de repère des collaborateurs face à la robotisation et taylorisation des activités,
à l’accélération de la cybercriminalité et du cyberterrorisme,
à l’émergence de la fraude associée au développement des algorithmes.
Hicham El Ghazi, Actuaire certifié IA [2], soulève également la question de la fiabilité : « L’arrivée de l’IA a engendré de nouveaux risques, dont la fiabilité des résultats et la perte d’expertise. Cette perte d’expertise pourrait conduire à la diminution de la capacité humaine à raisonner, et ainsi à une dépendance à des outils alors que ces derniers peuvent manquer de fiabilité. »
Finalement, « Le rôle d’avocat du diable, demandé au risk manager pour imaginer les risques, devient indispensable ». [3]
Le rôle du Risk manager a-t-il pour autant évolué ?
L’AMRAE (Association pour le Management des Risques et des Assurances de l’Entreprise) que le Village de la Justice a interrogée sur ce point, tempère cela : « l’IA entraîne une évolution des risques, plutôt que de nouveaux risques. Elle a ainsi accru certains risques, notamment en matière d’éthique, de propriété intellectuelle et de protection des données. »
« C’est toute la cartographie des risques qu’il convient de reprendre à la lumière des possibilités offertes par cette nouvelle technologie. » (AMRAE)
« Elle fait également peser des incertitudes en matière de RH, sur la structure de capital humain : l’IA aura-t-elle plus d’impact sur les juniors, sur les seniors, quels seront les métiers concernés, comment anticiper les besoins, les nécessaires adaptations, les modes de fonctionnement ? »
L’AMRAE note également l’impact de l’IA « sur l’activité commerciale des entreprises (portefeuille clients, portefeuille d’offres, compétitivité, partenariats) ou, bien sûr, sur leur capacité en matière de R&D : amélioration de la productivité, accélération de l’exécution du plan stratégique, innovation etc. pour l’entreprise et ses concurrents… »
Pour l’association, c’est en réalité « toute la cartographie des risques d’une entreprise qu’il convient de reprendre à la lumière des possibilités offertes par cette nouvelle technologie. Passionnant ! »
Comment l’IA peut aider le Risk management ?
On imagine assez intuitivement comment l’IA peut aider le Risk manager dans son office :
« L’IA, en particulier, permettra aux gestionnaires de risques et aux assureurs de collecter et d’analyser les données plus rapidement et plus efficacement » (…) l’IA contribuera à faire passer l’analyse des données à un niveau supérieur. L’IA va vraiment changer l’analyse et la planification des scénarios. La capacité d’analyser des scénarios à faible probabilité et à fort impact est actuellement limitée par l’homme. Mais l’IA peut couvrir davantage de scénarios et en imaginer d’autres auxquels vous n’avez pas pensé. À l’heure actuelle, le risque est très dépendant de l’homme » selon Jim Wetekamp [4].
Des propos que confirme Marie-Noëlle Thomas, Directrice Business Line Risk Management d’Ellisphere, que nous avons interrogée :
« Il y a 20 ans, le risk management était essentiellement centré sur la solvabilité pour s’assurer d’être payé en temps et en heure. Aujourd’hui, le risk manager doit analyser un éventail de risques très large avec une vision à 360 degrés. Il lui faut donc dorénavant des outils capables de balayer l’ensemble de ces risques qui lui permettent de prendre des décisions, rapidement et de façon éclairée.
Pour les aider, nous utilisons l’IA :
pour le traitement de l’information, notamment pour la fiabiliser ;
pour construire des indicateurs. Nous utilisons l’IA via notamment le machine learning pour bâtir différents scorings comme celui sur le risque de défaillance des entreprises. Cela permet de sécuriser une entrée en relation dans un temps court, puis d’assurer dans la durée le développement de relations d’affaires fiables.
Chez nous, une équipe de data science construit ce type de scoring en s’appuyant sur des techs d’IA existantes.
« Aujourd’hui, le risk manager doit analyser un éventail de risques très large avec une vision à 360 degrés. » (Marie-Noëlle Thomas)
Le risk manager doit par ailleurs forcément faire face à l’IA, l’appréhender, pour automatiser certaines tâches et se focaliser sur les dossiers à forte valeur ajoutée, en prenant notamment en considération les enjeux réglementaires qui se durcissent… bref libérer de la « bande passante » pour cela. C’est une grande opportunité !
Parallèlement, l’IA générative va également entraîner de nouveaux types de risques, comme par exemple de nouvelles formes de fraude, qui reposent sur la puissance offerte par l’IA.
Enfin, l’évolution continue des technologies et des règlementations va nécessiter que le risk manager aide les entreprises à s’y préparer, en lien avec les juristes et les compliance officers. »
De là dire que l’IA va accroître la nécessité de renforcer l’intelligence humaine collective… il n’y a qu’un pas !
Propos recueillis par Nathalie Hantz, Rédaction du Village de la Justice
30 avril 2024
Notes de l’article:
[1] Pascal Kerbel, Le risk manager face à l’intelligence artificielle..
[2] Un actuaire est un expert de l’évaluation et de la gestion des risques, qui a des appétences notamment en probabilités et en statistiques mais aussi des qualifications en comptabilité, en finance et en droit. Le métier d’actuaire est présent en particulier au sein des structures d’assurance et de réassurance, mais il peut être présent aussi dans le secteur bancaire à travers la gestion d’actifs et aussi de l’industrie.
[3] Source : Pascal Kerbel, voir supra.
RGPD : « ON NE POURRA PAS DIRE QUE L’ON NE SAVAIT PAS » (2). IMPACT et SANCTIONS.
Après les conseils de lecture et l’actualité du risque de cyberfraude entrainant le traitement illicite-la perte-le vol de données (suivre le lien), je vous propose en lien avec le titre de mon contenu de revenir sur son impact très fort à travers un nouveau contenu :
Une infographie des sanctions récentes : les géants et les autres.
- Les géants sont sanctionnés – Meta, Apple, EdF, H&M…-
- Mais pas que… « La CNIL a adressé une importante sanction à l’encontre du Groupe CANAL+ ! »
ACTUS LES ECHOS – 6 juin 2024 – 8h02 – Données personnelles et IA : Meta visé par 11 plaintes en Europe
Le géant américain des réseaux sociaux Meta (Facebook, Instagram) est visé ce jeudi par des plaintes dans 11 pays européens pour un projet d’utilisation « illégale » des données personnelles de ses utilisateurs dans un programme d’intelligence artificielle, selon un communiqué de l’association Noyb.
Bête noire des géants de la tech, l’ONG viennoise demande aux autorités d’intervenir « en urgence » pour empêcher la mise en oeuvre de cette nouvelle politique de confidentialité, prévue le 26 juin. Si certaines données publiques sont déjà utilisées pour entraîner les modèles d’IA générative, Meta veut aller plus loin et « carrément prendre » l’ensemble des données de ses milliards d’utilisateurs collectées depuis 2007. Après ces 11 Etats, dont la France, la Belgique ou encore l’Allemagne, des procédures seront engagées dans les autres pays de l’UE « dans les prochains jours ».
Les Echos. 6 juin 2024
Infographie des amendes au titre du RGPD
La Commission irlandaise de protection des données, l’équivalent de la Cnil en France, a décidé la semaine dernière d’infliger une amende de 265 millions d’euros à Facebook pour avoir violé le règlement général sur la protection des données (RGPD), suite à une immense fuite de données d’utilisateurs survenue entre mai 2018 et septembre 2019. Cette amende est la quatrième infligée aux plateformes détenues par la société mère de Facebook, Meta. Même si cette somme peut sembler considérable, il ne s’agit pas du montant le plus élevé qu’une entreprise ait dû payer dans l’histoire du RGPD.
Comme le montre notre graphique, cet honneur discutable revient à Amazon, un autre géant du Web. En juillet 2021, le régulateur luxembourgeois avait infligé une amende monstre de 746 millions d’euros à la branche européenne du groupe américain, pour « non-respect des principes généraux de traitement des données dans le cadre du RGPD », d’après le suivi réalisé par CMS. La quatrième place de ce classement revient à la messagerie WhatsApp, suivie de trois amendes reçues par Google et d’une infligée à Facebook.
Le cadre réglementaire du RGPD vise à donner aux utilisateurs un plus grand contrôle sur leurs données et impose de nouvelles normes à la gestion des données personnelles en entreprise. Pour les contrevenants à ces règles, les sanctions sont souvent lourdes. Le RGPD a été mis en place le 25 mai 2018, en remplacement de la directive européenne sur la protection des données de 1995, et contient 99 articles. À ce jour, le suivi de CMR recense 1 507 violations individuelles du RGPD, bien que les données soient très probablement incomplètes puisque toutes les amendes ne sont pas rendues publiques.
Tristan Gaudiaut 5 déc. 2022
Les montants des sanctions finissent par de belles additions si on y ajoute les 5 milliards de dollars payés en 2019 aux autorités américaines et les 725 millions de dollars réglés ce mois-ci pour éteindre une action collective … et le metavers n’a pas encore fait jurisprudence…
La contribution des juges à la mise en conformité des réseaux sociaux a un coût que semblent prêts à supporter leurs acteurs.
Données personnelles : la somme des amendes contre Meta s’approche du milliard d’euros
Le champion des applications de réseaux social vient d’être une nouvelle fois sanctionné par la CNIL irlandaise. Celle-ci lui réclame 265 millions d’euros pour n’avoir pas su protéger les données de 500 millions d’utilisateurs de ses applications dans le monde.
C’est un cap symbolique que la maison mère de Facebook, Instagram et WhatsApp aurait préféré ne jamais franchir. Et encore moins au moment où les difficultés économiques s’accumulent et l’ont contraint au premier plan de licenciement de son histoire. Condamné une nouvelle fois à une gigantesque amende pour avoir échoué à protéger des données personnelles d’internautes européens, Meta cumule désormais quasiment 1 milliard d’euros d’amende auprès des régulateurs du Vieux Continent.
La dernière sanction en date punit le champion des réseaux sociaux car il n’avait pas su empêcher l’aspiration en 2019 puis la publication en 2021 de données relatives à plus de 500 millions des utilisateurs de ses applications dans le monde. Outre une amende de 265 millions d’euros annoncée lundi 28 novembre, la CNIL irlandaise indique avoir imposé à Meta des mesures correctives mais ne précise pas lesquelles.
Les conséquences du RGPD
Dans le détail, les cybercriminels étaient parvenus à détourner des fonctionnalités de découverte de nouveaux contacts – comme Facebook Search, Facebook Messenger Contact Importer et Instagram Contact Importer – pour constituer d’importants jeux de données qu’ils espéraient revendre au marché noir. A la suite de la parution de nombreux articles de presse, la DPC irlandaise avait ouvert une enquête en avril 2021. Meta assure y avoir pleinement coopéré.
Depuis 2018 et l’entrée en application du règlement européen sur la protection des données personnelles (RGPD), Meta est le groupe le plus sanctionné par les instances européennes. De Twitter à Google en passant par Amazon, aucun ne s’est autant attiré les foudres de ce règlement qui a considérablement durci les sanctions sur ce sujet et prévoit des amendes égales à 4 % du chiffre d’affaires mondial des contrevenants.
60 millions d’euros d’amende en France
A ce jour, l’amende la plus importante imposée à Meta est venue punir les manquements constatés sur Instagram en matière de protection des données des utilisateurs âgés de 13 à 17 ans. Pas moins de 405 millions d’euros ont été réclamés en septembre dernier à Meta, qui a fait appel. L’an dernier, le groupe de Mark Zuckerberg a par ailleurs été prié de payer 225 millions d’euros d’amende pour non-respect du RGPD sur WhatsApp. Mais il a, là encore, fait appel.
Plus modestement, Meta n’a pas échappé à une amende de 17 millions d’euros en raison de la découverte en fin d’année 2018 d’une douzaine de failles de sécurité désormais résorbées. En France, la CNIL présidée par Marie-Laure Denis a de son côté sanctionné la filiale européenne de Facebook d’une amende d’un montant de 60 millions d’euros, au motif que les utilisateurs de Facebook en France ne pouvaient pas refuser aussi facilement qu’ils les acceptaient les cookies, ces fichiers qui pistent leurs historiques de navigation. A l’échelle européenne, treize enquêtes concernant Meta sont toujours en cours.
Par Florian Dèbes. 28 nov. 2022
Une sanction de 600 000 euros à l’encontre de EDF
Plusieurs manquements sont concernés :
✔ L’obligation de recueillir le consentement des personnes à recevoir de la prospection commerciale par voie électronique
✔ L’obligation d’information et au respect de l’exercice des droits
✔ L’obligation d’assurer la sécurité des données personnelles
Données personnelles : Apple sous le coup d’une sanction symbolique de la CNIL
Le fabricant de l’iPhone va devoir s’acquitter d’une amende de 8 millions d’euros après une plainte de l’association France Digitale. Mais le gendarme français des données personnelles a retenu plusieurs circonstances atténuantes.
Les propriétaires d’iPhones pouvaient bien décliner les identifiants publicitaires mais le choix ne leur était pas proposé directement puisqu’ils devaient proactivement fouiller dans les paramètres de l’App Store.
Même les premiers de la classe ont parfois des mauvaises notes. Pourtant reconnu comme plus sérieux que bien d’autres champions américains de la tech en matière de protection des données personnelles, Apple vient d’en faire les frais. Averti par la CNIL, le fabricant de l’iPhone va devoir s’acquitter d’une amende de 8 millions d’euros.
La CNIL reproche à l’entreprise de Tim Cook d’avoir déposé sur le smartphone de ses clients français des identifiants destinés à personnaliser des publicités affichées dans l’App Store – le magasin d’applications d’Apple – avant d’avoir recueilli leur consentement. « Lors d’un contrôle en juin 2021, nous avons constaté deux manquements de la part d’Apple qui rendaient plus difficile de refuser les identifiants publicitaires que de les accepter », explique Louis Dutheillet de Lamothe, le secrétaire général du régulateur français des données personnelles.
Simili-cookies à la sauce Apple
Dans le détail, les propriétaires d’iPhones pouvaient bien décliner ces identifiants mais le choix ne leur était pas proposé directement puisqu’ils devaient proactivement fouiller dans les paramètres de l’App Store. Second manquement, particulièrement problématique pour la CNIL, la case autorisant le dépôt de ces simili-cookies à la sauce Apple était pré-cochée…
Cette sanction donne raison à l’association de start-up et d’investisseurs France Digitale qui avait saisi la CNIL en mars 2021. « Le jugement et la sanction de la CNIL viennent confirmer que la réglementation permet de freiner et condamner les comportements abusifs, en l’occurrence l’atteinte à la vie privée par Apple », se satisfait Maya Noël, sa directrice générale.
Symboliquement, l’association peut se réjouir : alors que nombres de ses membres ont le sentiment d’être pris à la gorge par les règles de protection de la vie privée imposées par Apple depuis avril 2021 aux développeurs d’applications pour iPhones et iPad, son action vient ébrécher l’armure de chevalier de la confidentialité volontiers endossée à Cupertino. Mais le groupe californien est toujours le seul à disposer de données de premières mains au sein de son écosystème, tandis qu’il développe à vive allure son activité dans la publicité en ligne.
Manquements corrigés
Par ailleurs, le montant de l’amende reste faible au regard des milliards de dollars de cash d’Apple. Bien que la Cnil se soit montrée plus sévère que ce qu’avait requis le rapporteur (6 millions d’euros) lors de l’audience en décembre dernier, l’amende est bien inférieure aux 60 millions d’euros infligés à Meta et il y a peu à Microsoft ou à la note de 150 millions d’euros adressée à Google.
Mais dans cette affaire, la directive européenne e-privacy s’appliquait, et non le plus exigeant règlement européen sur la protection des données personnelles (RGPD). La CNIL a aussi retenu plusieurs circonstances atténuantes. D’abord, les manquements ont été corrigés par Apple avant même la fin de la procédure. Ensuite, le dépôt de l’identifiant publicitaire étaient destinés à nourrir un système de personnalisation des publicités basés sur le comportement de cohortes d’utilisateurs et non un système individualisé, plus intrusif.
Lors de l’audience, Apple s’était défendu en niant toute gravité à la violation de la loi qui lui était reprochée et avait demandé la non-publicité d’une éventuelle sanction. « Nous sommes déçus par cette décision, la CNIL ayant précédemment reconnu que la façon dont nous diffusons les annonces dans l’App Store donne la priorité à la protection de la vie privée des utilisateurs », a réagi l’entreprise. Dans un court communiqué, la société annonce son intention de faire appel.
Florian Dèbes. 4 janv. 2023
La CNIL a adressé une importante sanction à l’encontre du Groupe CANAL+ !
La CNIL a reçu 31 plaintes émanant de personnes qui ont éprouvé des difficultés pour faire valoir leurs droits vis-à-vis de la société spécialisée dans l’édition de chaînes et la distribution d’offres de télévision payante, à savoir le GROUPE CANAL+. Ces plaintes portaient sur des questions liées à la prospection téléphonique, la divulgation de données bancaires et l’exercice de leurs droits.
À la suite des constatations effectuées lors des inspections menées par la formation restreinte de la CNIL, il a été conclu que la société avait enfreint plusieurs obligations prévues par le RGPD ainsi que le code des postes et des communications électroniques (CPCE).
Voici la liste des manquements retenus :
– Un manquement à l’obligation de recueillir le consentement des personnes à recevoir de la prospection commerciale par voie électronique (articles L. 34-5 du CPCE et 7 du RGPD)
– Des manquements à l’obligation d’information (articles 13 et 14 du RGPD) et au respect de l’exercice des droits (articles 12 et 15 du RGPD)
– Un manquement à l’obligation d’encadrer les traitements effectués par un sous-traitant par un contrat (article 28.3 du RGPD)
– Un manquement à l’obligation d’assurer la sécurité des données personnelles (article 32 du RGPD)
– Un manquement à l’obligation de notifier à la CNIL une violation de données (article 33 du RGPD)
Au regard de ces informations, la CNIL a prononcé une amende de 600 000 € à l’encontre du Groupe CANAL + et l’a rendue publique.
Le montant de cette amende a été décidé au regard des manquements retenus, ainsi qu’en tenant compte de la coopération de la société et de l’ensemble des mesures qu’elle a prises au cours de la procédure pour se mettre en conformité.
RISQUE CLIMATIQUE : OU EN ETES-VOUS ? 🙈 ? 🙉 ? Plus ? AU-DELA DE l’ASSURANCE, UN CHANGEMENT DE PARADIGME ET LA MISE EN ŒUVRE ORCHESTREE PAR UN RISK MANAGER CORPORATE D’UNE DEMARCHE DE GESTION DU RISQUE CLIMATIQUE (3)
Je vous ai proposé :
- il y a un mois une contextualisation du risque climatique qui conduit à s’interroger sur la nouvelle logique de transfert du risque climatique : la réticence des compagnies d’assurances à assurer le risque climatique rend en effet nécessaire la mise en place d’une démarche de gestion des risques par les entreprises.
- Il y a deux semaines : des éléments de connaissance et d’analyse sur la prise en charge du risque climatique par les assurances et la question de son assurabilité.
Je vous propose aujourd’hui :
👉 Un article et un excellent rapport à lire pour lui préférer ou a minima lui adjoindre un changement de paradigme et la mise en œuvre orchestrée par un Risk Manager corporate d’une démarche de gestion du risque climatique.
📌 Plus la rubrique lire et relire sur ce sujet :
Dans l’ouvrage « RISK MANAGEMENT. ORGANISATION ET POSITIONNEMENT DE LA FONCTION RISK MANAGER. METHODES DE GESTION DES RISQUES. »,
CH I Définition des notions mobilisées et contextualisation de la Fonction Risk Manager, Amplificateur de risque 1 : le régulateur, législateur, p. 53-65.
https://librairie.gereso.com/livre-entreprise/risk-management-fris2.html
Sur le blog
Le risque climatique : impact sur les institutions financières et la gestion des risques
A la poursuite du risque climatique…RSE et maîtrise des risques
La nécessaire gestion du risque climatique et ses interactions avec la RSE
Risque climatique et assurances.
Le périmètre d’activité des Risk Managers ne cesse de s’élargir.
Réchauffement climatique, cyberattaques, tensions géopolitiques… Dans cette époque turbulente, comment préserver les piliers d’un modèle assurantiel qui joue aussi un rôle social structurant
« Un monde à +4 degrés n’est pas assurable. » Cette déclaration d’Henri de Castries, à la veille de la COP21 dans une interview au Parisien, avait fait en 2015 grand bruit. Alors PDG d’Axa, le dirigeant pointait une menace sourde, le spectre de l’inassurabilité face aux risques systémiques – et en premier lieu, celui du dérèglement climatique. Huit ans plus tard, le 22 février 2023 au micro de France Info, le ministre de la Transition écologique et de la Cohésion des territoires Christophe Béchu appelait à « sortir du déni » et à « préparer notre pays à +4 degrés » [de réchauffement climatique]. Ambiance.
Ce simple fast forward résume à lui seul les enjeux et dilemmes de l’assurance moderne. À l’ère de la permacrise, comment préserver notre modèle assurantiel ? Face à la multiplication, l’accélération et l’interdépendance des risques, dans une société toujours plus numérisée, pourra-t-on protéger les principes de solidarité et de mutualisation ? Est-il possible d’anticiper et de réduire notre exposition à des évènements dont le dimensionnement et la récurrence ne cessent d’augmenter ?
Explosion du risque cyber
En avril 2022, le Conseil économique, social et environnemental s’est emparé de la question en publiant l’avis Climat, cyber, pandémie : le modèle assurantiel français au défi des risques systémiques. Dans cette note, l’instance fait le constat d’une société toujours plus vulnérable, au rythme de l’évolution de ses systèmes économiques et sociaux. En cause ? La mondialisation, le dérèglement climatique, et la digitalisation, dont les effets s’accroissent et s’interconnectent. Prenons l’exemple de la pandémie : outre ses conséquences sanitaires, le Covid-19 a lourdement grevé les entreprises, avec 180 milliards d’euros de pertes d’exploitation estimées sur la période.
Mais l’épisode a aussi accéléré la numérisation de nos organisations, qui se sont jetées à corps perdu (et de façon bien naturelle) dans les possibilités offertes par le digital pour contrer la mise à l’arrêt forcée de nos activités. Une mutation qui s’est accompagnée de l’explosion du risque cyber, qui n’était pourtant pas marginal avant la pandémie : en 2019, 90% des ETI et des PMI françaises avaient déjà été concernées par une attaque malveillante, selon le CESE. En 2020, les attaques par ransomware ont augmenté de 255%, d’après l’Anssi. Et en 2022, 45% des répondants du baromètre du Club des Experts de la Sécurité de l’Information et du Numérique (CESIN) signalent au moins une cyberattaque « réussie » (c’est-à-dire ayant entraîné des pertes financières et / ou réputationnelles significatives). Enfin, la géopolitique, qui a fait son retour en fanfare dans notre quotidien avec l’invasion de l’Ukraine par la Russie en février 2022, charrie avec elle sa somme de nouvelles menaces cyber, cherchant à déstabiliser le camp ennemi dans un monde toujours plus polarisé.
Et de fait, en 2023, les professionnels français de l’assurance placent encore le risque cyber en tête des menaces, en termes de probabilité d’occurrence et d’impact à moyen terme, suivi par le dérèglement climatique et l’environnement économique dégradé. Réalisée tous les ans par France Assureurs (nom d’usage de la Fédération française de l’assurance), la Cartographie prospective des risques recueille l’appréciation des risques par des dirigeants représentant 97% des placements du secteur. Un exercice équivalent, mais cette fois-ci à l’échelle du globe, peut se trouver du côté du Future Risk Report 2022, réalisé par Axa, Ipsos et Eurasia groupe. Pour celui-ci, la vulnérabilité cyber monte au troisième rang des préoccupations des experts, derrière les risques climatique et géopolitique.
La cybercriminalité, troisième économie mondiale
Si les risques cyber intègrent une « nouvelle normalité » dans le panorama des risques selon Axa, l’assureur français rappelle toutefois que nous n’avons pas encore eu à essuyer une cyber attaque à grande échelle, paralysant nos centres vitaux : santé, énergie, systèmes de paiement… 51% des experts interrogés par le Future Risk Report citent l’arrêt des infrastructures critiques et des services essentiels comme principal cyber risque. Une crainte partagée par Mario Greco, interviewé en décembre 2022 par le Financial Times. Le directeur général de Zurich Insurance considère que c’est le risque cyber qui pourrait bien, avant même les catastrophes naturelles et / ou les conséquences du réchauffement climatique, devenir inassurable : « Si quelqu’un prend le contrôle de parties vitales de nos infrastructures, quelles seront les conséquences ? Nous devons comprendre qu’il ne s’agit pas seulement de données, mais de civilisation. Ces gens peuvent vraiment disrupter nos vies. »
Et l’on ne peut s’empêcher de penser aux hôpitaux, actuellement touchés de plein fouet par une véritable série noire cyber. Des systèmes informatiques vieillissants, le manque de moyens financiers et humains, le manque d’acculturation digitale… alliés à l’accélération technologique des processus et pratiques font des établissements de santé des cibles de premier choix. Sans parler du caractère ultra-sensible – et donc ultra bankable – des données de santé : selon le cabinet Sopra Steria, sur la base de données IBM, un dossier médical peut s’échanger jusqu’à 350 dollars sur le dark web, 50 fois plus qu’un dossier bancaire ! Mais d’autres types d’infrastructures critiques sont dans le viseur des hackers : collectivités, ministères, institutions, équipements… En mai 2021, le plus grand oléoduc d’essence des Etats-Unis a ainsi été ciblé par un ransomware, obligeant son opérateur à interrompre ses activités. Selon le sénateur Rémi Cardon, auteur d’un rapport sur le risque cyber, si la cybercriminalité était une économie nationale, elle serait troisième au niveau mondial, derrière les Etats-Unis et la Chine, avec 6 000 milliards d’euros – un montant qui a doublé depuis 2015. Thierry Breton, le commissaire européen chargé du marché intérieur, vient d’ailleurs d’annoncer aux Echos la mise en place d’un cyber-bouclier européen, un projet à plus d’un milliard d’euros.
Renforcer les partenariats public privé
Sur le front du dérèglement climatique, l’inquiétude des professionnels ne décroît pas. Pour France Assureurs, elle s’installe même de façon structurelle chez les professionnels, au deuxième rang de leurs préoccupations. Un constat logique, après les extrêmes climatiques de 2022, qui ont porté la facture des catastrophes naturelles à plus de 10 milliards d’euros en France. A l’échelle du globe, c’est même la première fois que le risque climatique arrive en tête du classement Future Risks, pour toutes les régions du monde – en 2021, seule l’Europe lui accordait la première place.
Et tandis que la transition vers une économie bas-carbone s’accompagne de ses propres risques, notamment économiques, ce mouvement pourtant indispensable est rendu plus complexe encore, par les risques géopolitiques et énergétiques. Ces derniers sont montés en flèche dans le Future Risk Report, qui insiste sur la nécessité d’une approche holistique, mais aussi des partenariats public-privé (PPP) plus étroits selon les experts interrogés. Des PPP que la France pratique déjà avec le régime catastrophes naturelles ou la récente assurance récolte, et qu’elle pourrait encore approfondir, pour faire face au caractère systémique des risques. On parle notamment de la cybersécurité – encore une fois.
Verdir l’économie pour prévenir les risques climatiques
Mais outre son rôle majeur de prévention et de protection des risques, l’assurance est aussi un financeur incontournable de l’économie. A fin 2021, les assureurs français cumulaient plus de 2 700 milliards d’euros de placements, dont 62% dans des actifs d’entreprises et 111 milliards investis dans les PME / ETI, selon France Assureurs. Autant dire que le secteur est un levier incontournable pour la transition vers une économie résiliente et durable.
C’est à ce titre que le Conseil économique, social et environnemental engage le secteur à aller plus loin, avec « une politique de gestion d’actifs qui d’une part se désengage massivement des secteurs émetteurs de carbone, et plus généralement de tous les secteurs qui par leur activité, contribuent à la dégradation de l’environnement, et d’autre part priorise les investissements qui favorisent l’accélération de la transition énergétique et écologique à hauteur d’au minimum 10 % du montant de cette gestion. » Autre axe de prévention : le bâti, par exemple ne pas reconstruire à l’identique pour éviter de futurs sinistres, quand la situation l’exige.
Changement de paradigme et nouvelle culture du risque
Autant de préconisations parmi les 14 autres proposées dans l’avis du CESE. Car pour la troisième assemblée de la République, la pérennité d’un système assurantiel accessible et protecteur pour tous reposera sur trois piliers, recouvrant toute la chaîne du risque : la connaissance, la prévention et l’indemnisation. Mais entre autres mesures « techniques » destinés à renforcer la soutenabilité financière du système, c’est aussi à une forme de révolution culturelle que le CESE appelle : « un changement de paradigme » piloté par « l’Etat-stratège », via la création d’une autorité politique de plein pouvoir, chargée de la prévention et de la gestion des risques majeurs. Une nouvelle culture du risque à acquérir à l’échelle de la société en somme, avec une attention particulière portée à la cybersécurité ou au risk management, dans laquelle la filière aura un rôle majeur à jouer.
Autre enjeu, celui consistant à mieux partager le risque, en créant par exemple une offre socle cyber à destination des TPE / PME, ou en favorisant par exemple l’accès à un premier niveau d’assurances pour tous, pour éviter que certains choisissent de ne plus s’assurer, avec de réels risques économiques et sociaux. C’est ainsi le cas en Outre-mer, qui enregistre une faible couverture, alors même que le risque climatique s’accroît. Au moment où les tensions s’exacerbent et la vulnérabilité ressentie par la population s’accroît, la mission de l’assurance sera aussi celle-ci : faire vivre et perdurer dans une société en profonde mutation une certaine idée de la solidarité au service de l’avenir.
Carolina Tomaz. Rédactrice en chef du Livre des Tendances de L’ADN.
RISQUES ET OPPORTUNITES LIES AU CHANGEMENT CLIMATIQUE
A lire sur le site de l’AMRAE dans la Bibliothèque.
Ce que j’aime :
👍Un titre qui prend en compte la dimension positive du risque
👍Un travail de groupe
👍Un chapitre sur la méthodologie d’analyse des risques liés au changement climatique
👍Un chapitre sur la mise en application d’une démarche
👍Un paragraphe sur le rôle du Risk Manager. Rôle qui se rapproche des rôles que je décris dans mes ouvrages comme étant celui du Risk Manager « architecte » de la gestion des risques et dans mon dernier article de recherche comme étant celui de la Fonction Risk Manager (FRM) managériale ; tous les deux en chemin, dans la période de maturité de la fonction, vers une FRM pilote de la démarche Enterprise Risk Management.
👉 Pour aller plus loin que ce paragraphe un peu rapide :
Voir :
Dans l’ouvrage « RISK MANAGEMENT. ORGANISATION ET POSITIONNEMENT DE LA FONCTION RISK MANAGER. METHODES DE GESTION DES RISQUES. », CH 2 L’activité des Risk Managers ; CH 5 La place des Risk Managers dans l’organisation.
https://librairie.gereso.com/livre-entreprise/risk-management-fris2.html
Dernier article de recherche sur les rôles de la FRM sur sa période d’émergence :
Aubry C., « La Fonction Risk Manager dans les entreprises françaises non financières : ses rôles sur la période de son émergence », Revue Management et Avenir, n°134, avril, p.61-82, 2023. https://www.cairn.info/revue-management-et-avenir-2023-2-page-61.htm
PROFESSIONNELS, ETUDIANTS (EN REVISION, PRETS A PARTIR EN STAGE), UN OUVRAGE RECENT (JUIN 2022) : « RISK MANAGEMENT. ORGANISATION ET POSITIONNEMENT DE LA FONCTION RISK MANAGER. METHODES DE GESTION DES RISQUES. »
Vous, professionnels et étudiants, qui souhaitez découvrir ou approfondir vos connaissances sur le Risk Management et la Fonction Risk Manager. Vous, étudiants, qui commencez vos révisions pour les partiels et qui allez partir en stage : un ouvrage récent (juin 2022) disponible « RISK MANAGEMENT. ORGANISATION ET POSITIONNEMENT DE LA FONCTION RISK MANAGER. METHODES DE GESTION DES RISQUES. »
🏁 Il est disponible depuis le 9 juin 2022 / Sur le site de Gereso Editions, collection Management https://lnkd.in/e_6NhrdS
/ Sur les sites de la FNAC, AMAZON…
🎯 Il s’agit de :
✅ La 2ème édition de notre ouvrage 📖 « La Fonction Risk Manager. Organisation, Méthodes et Positionnement » / paru chez Gereso Editions / en 2019 / labellisé FNEGE dans la catégorie Manuel en 2020
✅ Avec un titre plus « large » / La Fonction Risk Manager / La démarche de Gestion des Risques
✅ Avec des ajouts :
👉 Une nouvelle période d’analyse / de 2019 à aujourd’hui
👉 L’intégration des nouveaux enjeux :
· la loi sur le devoir de vigilance
· le risque éthique et le risque de réputation
· le risque cyber, le risque de fraude et leur gestion
· le rôle du Risk Manager face à la crise sanitaire du Covid 19
👉 De nouveaux exemples
👓 Pour ceux qui découvrent notre ouvrage, vous y trouverez :
✅ Un panorama complet de votre fonction (activité, place dans l’organisation, compétences), de la démarche de gestion des risques et de ses outils
✅ Des préconisations pour faire évoluer la fonction
✅ Une double approche académique et de terrain, au niveau du contenu, de nos parcours professionnels, des personnalités qui nous ont fait l’honneur de rédiger la préface et la postface.
#risques #riskmanagement #gestiondesrisques #ERM #EnterpriseRiskManagement #analysedesrisques #riskmanager #gestionnairederisques #riskofficer #mastergestiondesrisques
LAFARGE : SANCTIONS LOURDES POUR AVOIR AIDE DES GROUPES TERRORISTES. RISQUE ETHIQUE DANS SA DIMENSION GOUVERNANCE. AMPLIFICATION DU RISQUE. SANCTIONS. ERM ET CREATION DE VALEUR. CQFD…
Pour tous ceux qui pensent encore que la démarche de gestion des risques n’est pas créatrice de valeur, un retour sur « l’affaire » Lafarge.
Voici plusieurs années que je me réfère à « l’affaire » Lafarge sur mon blog et auprès des étudiants de Master pour :
- illustrer dans la catégorie Risque Nouveau, le risque éthique dans sa dimension gouvernance / et revenir en même temps sur l’identification en trois temps d’un risque (étape 2 de la démarche de gestion des risques)
- présentation du risque
- causes de celui-ci (probabilité
- conséquences de celui-ci (impact)
- illustrer le rôle d’amplificateur de risque du régulateur-législateur et par les médias.
Octobre 2022, la sanction est tombée.
O.Roubin écrivait le 21 octobre : « La sanction du Department of Justice (DOJ) contre Lafarge pour ses activités et des flux financiers en Syrie avec des groupes terroristes est tombée : 91M$ d’amende et 687M$ saisis. Sans compter la poursuite de la procédure en France. Lafarge a souligné que le DOJ a reconnu que le groupe avait mis en place des procédures de contrôle appropriées pour désormais détecter, et éviter, toute conduite de cette nature et avait en conséquence estimé qu’il n’était « pas nécessaire » de nommer un contrôleur indépendant.
Des grands groupes persistent à penser que la compliance coûte trop cher et qu’il n’est pas opportun d’investir en l’absence de sanction… Voici une nouvelle confirmation que la non-compliance peut coûter encore plus cher, jusqu’à la disparition possible d’une organisation suites aux sanctions et aux poursuites. »
Pour découvrir ou revenir sur la genèse de cette affaire.
Relire sur le blog deux articles très intéressants de septembre 2021 qui illustrent le risque éthique dans sa dimension gouvernance à travers la mise en examen du groupe Lafarge pour « mise en danger de la vie d’autrui » dans le cadre de ses activités en Syrie entre 2011 et 2014, et plus particulièrement des accords financiers passés avec des groupes armés ;
Lire une synthèse très pédagogique présentée en exposé par un groupe d’étudiants du M1 MER / MRSE de l’Université Paul Sabatier – Toulouse 3 ; ci-dessous le PP intitulé « Lafarge dans le bourbier syrien » réalisé à partir d’une revue de presse dont les éléments sont cités en source. Merci à eux d’avoir accepté que je le partage sur le blog.
MON ACTUALITE. UNE JOURNEE DE FORMATION A DES ELUS. RISQUES – GESTION DES RISQUES – GESTION DE CRISES. CONGRES DES MAIRES.
🏆 Très fière d’avoir partagé avec des élus des collectivités territoriales mes connaissances dans les domaines des RISQUES – GESTION des RISQUES – GESTION DE CRISES.
🗼 Comment ? Une formation d’une journée intitulée « La gestion des risques : prévenir pour agir » / Deux objectifs : catégoriser et caractériser les risques ; donner la démarche de gestion des risques à suivre (étapes, outils)
🗼 Où ? Paris
🗼 Quand ? Le 23 novembre 2022 ; dans le cadre du Congrès des Maires
🗼 Pour qui ? Des élus locaux de la Martinique
🏅 Des élus intéressés, concernés par les risques et leur gestion car :
- confrontés aux risques dans leur quotidien ;
- placés en première ligne par le régulateur-législateur.
🏅 Des élus qui doivent les gérer c’est-à-dire les lever quand c’est possible, les transférer (aux assurances), les atténuer ou les accepter sous leur forme résiduelle
Des élus d’un territoire confronté à une « palette de risques à nulle autre pareille » pour reprendre la terminologie d’un des élus, tous stratégiques : la Montagne Pelée, la montée des eaux, les cyclones de plus en plus fréquents, le chlordécone, la présence en son cœur d’une usine SEVESO… Auxquels s’ajoutent des risques transverses « plus classiques » comme les cyberattaques contre les municipalités par exemple.
Un grand merci CIFELM pour cette opportunité. Un grand merci aux élus pour leur intérêt et la qualité des échanges.
🎯 Il est essentiel que les collectivités territoriales se forment aux risques et à leur gestion.
#risques#risque#analysedesrisques#riskanalysis#identificationdesrisques#gestiondesrisques#riskmanagement#enterpriseriskmanagement#amplificationrisque#regulateurlegislateur#riskmanager#riskofficer#gestionnairederisques#CIFELM#collectiviteterritoriale#elus#martinique#LGCO #LGTO
Blog de Caroline Aubry 