Archives pour la catégorie LEGISLATEUR – REGULATEUR ET AMPLIFICATION DU RISQUE

éthique-gouvernance, E.R.M, GESTION DES RISQUES, LEGISLATEUR - REGULATEUR ET AMPLIFICATION DU RISQUE, RISK MANAGER-FONCTION RISK MANAGER, RISQUES

L’AFFAIRE DES EAUX CONTAMINEES DE NESTLE ANALYSEE SOUS L’ANGLE DE LA GESTION DES RISQUES : UN CAS D’ECOLE

23 Mai 2025 carolineaubry Laisser un commentaire

L’affaire des eaux contaminées de Nestlé devient un cas d’école qui me permet d’illustrer quelques éléments importants dans mes cours sur le risque et la gestion des risques. À partir des conclusions du rapport de l’enquête sénatoriale présentés dans un article des Echos que vous pourrez lire ci-dessous et de deux articles parus dans ce même quotidien, je vous propose de revenir et d’actualiser des éléments que j’ai déjà évoqués sur mon blog :

✨ Le risque éthique

🙈 La défaillance de l’Etat français comme amplificateur des risques

🚩 L’impact de ce risque pour Nestlé.

🏅 Les plans d’actions possibles pour Nestlé et pour l’Etat français.

Le risque éthique

L’éthique est la mise en pratique quotidienne des valeurs de l’entreprise et plus largement le respect des valeurs humaines et sociétales. Elle se décline en deux dimensions : d’une part le développement durable – le risque éthique est alors proche du risque environnemental -, d’autre part la gouvernance – il s’agit alors du respect des engagements de transparence, de prise en compte des parties prenantes et d’ouverture aux besoins de l’environnement global (concurrentiel, réglementaire, sociétal…) dans lequel opère l’organisation -. J’ai déjà utilisé cette appellation concernant Lubrizol, Nike ou encore Lafarge. Je l’ai également utilisé pour qualifier l’affaire des eaux contaminées dans une tribune publiée dans Le Monde le 14 octobre 2024.

La contribution au déficit de la nappe phréatique de la commune de Vittel (Vosges), qui se retrouve à importer de l’eau potable des centres voisins, relève du risque éthique dans sa première dimension : elle porte atteinte à l’environnement.

Le non-respect de la réglementation européenne interdisant la désinfection des eaux minérales, l’aveu de traitements tels que les ultraviolets et les filtres au charbon actif, la mise en doute de la qualité sanitaire des sources Vittel, Contrex, Hépar et Perrier (bactéries, matières fécales, pesticides…) par l’Agence nationale de sécurité sanitaire et l’Agence régionale de santé Occitanie relèvent de sa dimension gouvernance.

Le rapport de l’enquête sénatoriale paru le 19 mai 2025 est sans appel et confirme l’appellation de risque éthique dans sa deuxième dimension : la falsification et la dissimulation sont avérées. Il permet d’aller plus loin. Alors que je disais lors d’une interview en octobre 2024 que « l’accumulation d’affaires concernant Nestlé n’avait rien à voir avec une quelconque malchance mais qu’il y avait forcément quelque chose qui n’était pas en place, soit qui entravait la remontée d’informations, soit qui n’en tenait pas compte », le rapport conclue que la falsification et la dissimulation étaient connues de la gouvernance. Les Echos écrivent qu’il s’agissait d’une « stratégie délibérée ».

La défaillance de l’Etat français

La défaillance de l’Etat dans son rôle d’amplificateur de risques est également confirmée. Le rapport de l’enquête sénatoriale conclue à la complicité de l’Etat au plus haut niveau.

Quel est l’impact de ce risque pour Nestlé ?

Dans la tribune publiée dans le Monde le 14 octobre 2024, je concluais à un coût économique fort, à un coût en termes de réputation fort mais à un coût juridique modéré. L’impact de l’affaire des eaux contaminées peut-il passer de fort/fort/modéré à très fort/très fort/modéré et ainsi accroître la criticité du risque éthique pour Nestlé ?

Le Préfet du Gard doit se prononcer d’ici le 7 août sur le renouvellement de l’autorisation de Perrier.

Pour D. Barroux (Les Echos, 13 mai 2025), cela condamnerait Nestlé Waters à mort.

Pour d’autres, cela n’aurait qu’un impact circonscrit sur le coût économique et le coût en termes de réputation.B. Basini (Les Echos, 8 mai 2025) relaie les propos d’un ancien salarié du groupe : « « On a coutume de dire que la France c’est moins de 4 % du chiffre d’affaires mondial et 100 % d’emmerdements… Mais l’erreur, c’est de croire que ces affaires sont graves financièrement pour le groupe. » » Dans ce même article, elle écrit également :« Certes, la présence de nouvelles contaminations dans les bouteilles Perrier de l’usine de Vergèze (Gard), risque de provoquer le retrait du label « eau minérale naturelle » de la marque. Certes, la scène de l’audition des dirigeants restera difficile à effacer. Mais, pour un groupe qui met sur le marché plus de 1 milliard de produits par jour, le scandale des eaux françaises reste un dommage circonscrit… Rencontré mi-mars lors d’un de ses passages à Paris, Laurent Freixe en faisait lui-même le constat : « Dans beaucoup de pays du monde, nous sommes la référence absolue, la confiance est là. Dans les eaux en bouteille, notre capacité à produire ne suit pas la demande. » Elle poursuit en nous donnant une piste vers le plan d’action envisagé par le groupe : « Devenue moins porteuse, l’activité eaux, qui ne représente plus que 3,5 % du chiffre d’affaires global, a été filialisée le 1^er janvier dernier. De quoi faciliter sa sortie du portefeuille des actifs stratégiques. Même si, devant la commission d’enquête sénatoriale, le dirigeant a juré qu’il voulait conserver le « patrimoine unique » que représente Perrier, sa marque la plus emblématique, ce sera en conduite accompagnée, avec un partenaire. Comme c’est déjà le cas pour les pizzas surgelées Buitoni depuis deux ans. »

Le deuxième amplificateur de risques – médias traditionnels, réseaux sociaux, médias alternatifs – joue son rôle : articles quotidiens dans les journaux économiques relayées sur les réseaux sociaux, ONG et associations de consommateurs mobilisées, humoristes devant un auditoire important (C. Vanhoeneker sur France Inter, W. Dia dans son dernier spectacle par exemple). Mais « la France ne représente que 4% du chiffre d’affaires. »

Au-delà du mea-culpa ou de la mise en conduite accompagnée de Perrier qui sont des actions de défense quels plans d’actions pour Nestlé ?

Pour desserrer l’étau autour de Perrier, Nestlé pourrait commencer par mettre en place les 28 recommandations du rapport d’enquête sénatoriale.

Pour réduire la fréquence des affaires, la nouvelle gouvernance de Nestlé pourrait soutenir une démarche de gestion des risques de type ERM et s’impliquer à mettre en place une Fonction Risk Manager (FRM) légitime pour la piloter. Je développe cette démarche de gestion des risques et le rôle d’une FRM managériale, architecte de la démarche ERM dans tous mes travaux.

Quel plan d’action pour L’Etat ?

L’Etat français pourrait suivre la recommandation de D. Barroux : « Premier exportateur d’eaux minérales, la France qui condamne aujourd’hui Nestlé ne devrait-elle pas se battre à l’échelle européenne pour qu’un cadre précis tenant compte de l’impact du changement climatique sur les nappes phréatiques encadre de façon homogène l’activité des « minéraliers » ?

A lire :

L’article ci-dessous.

L’article de B.Basini « Nestlé : Laurent Freixe, who else ? », Les Echos, 8 mai 2025.

L’article d’A. Vallez « Nestlé, le géant par lequel le scandale arrive », Capital, décembre 2024.

A lire pour en savoir plus sur les risques, la gestion des risques et la Fonction Risk Manager :

L’ouvrage co-écrit avec N. Dufour « Risk Management. Organisation et positionnement de la Fonction Risk Manager. Méthodes et Gestion des risques. » Editions Gereso. 293 pages, 18,99 à 27 euros.

Mes travaux de recherche

Eaux minérales : l’enquête sénatoriale dénonce « une dissimulation » par l’Etat

Les conclusions de la commission d’enquête sénatoriale sur les eaux en bouteille accablent l’Etat et Nestlé Waters. A la demande du géant suisse, les services de l’Etat auraient modifié un rapport soulignant des contaminations des sources Perrier.

Nouvelles révélations fracassantes dans l’affaire des eaux en bouteille. Plus d’un an après la révélation de traitements illicites en particulier chez Nestlé Waters (Perrier, Hépar, Contrex), la commission d’enquête sénatoriale sur les pratiques des industriels de l’eau en bouteille a rendu ses conclusions ce lundi. Et elles montrent « les liaisons dangereuses Etat-Nestlé » , selon une expression du rapporteur, Alexandre Ouizille (PS, Oise).

L’enquête révèle comment un rapport de l’agence régionale de santé (ARS) d’Occitanie a été édulcoré à la demande du numéro un mondial des eaux en bouteille. A la suite d’échanges entre le cabinet de la ministre déléguée à la Santé (à l’époque Agnès Firmin Le Bodo), le directeur général de l’ARS et le préfet du Gard, des modifications ont été réalisées « afin de dissimuler la contamination de forages contaminés par des bactéries, mais aussi des herbicides et des métabolites de pesticides, parfois interdits depuis des années », accuse le rapport.

« Une stratégie délibérée »

« Outre le manque de transparence de Nestlé Waters, il faut souligner celui de l’Etat, à la fois vis-à-vis des autorités locales et européennes et vis-à-vis des Français […] Cette dissimulation relève d’une stratégie délibérée, abordée dès la première réunion interministérielle sur les eaux minérales naturelles le 14 octobre 2021. Près de quatre ans après, la transparence n’est toujours pas faite », dénonce ce rapport rendu public lundi après six mois de travaux et plus de 70 auditions.

Nestlé Waters, dont la direction assure avoir découvert fin 2020 sur ses sites Perrier, Hépar et Contrex l’usage de traitements interdits pour de l’eau minérale, avait sollicité à ce sujet mi-2021 le gouvernement, puis jusqu’à l’Elysée. Selon le minéralier, il s’agissait d’« assurer la sécurité sanitaire » des eaux lors d’épisodes de contaminations bactériologiques de forages.

Dix-huit mois plus tard, un plan de transformation de ses sites était approuvé par les pouvoirs publics, remplaçant les traitements interdits (UV, charbon actif) par une microfiltration fine par ailleurs controversée car à même de priver l’eau minérale de ses caractéristiques. Or le droit européen stipule qu’une eau minérale naturelle ne peut faire l’objet d’aucune désinfection ou traitement de nature à modifier ses caractéristiques. « Malgré la fraude aux consommateurs que représente la désinfection de l’eau, les autorités ne donnent pas de suites judiciaires à ces révélations » de 2021, souligne le rapport.

L’Etat au courant au moins depuis 2022

Les sénateurs déplorent ensuite une « inversion de la relation entre l’Etat et les industriels en matière d’édiction de la norme » : « Nestlé Waters adopte une attitude transactionnelle, posant explicitement l’autorisation de la microfiltration à 0,2 micron comme condition à l’arrêt de traitements pourtant illégaux. »

« En définitive, c’est au plus haut niveau de l’Etat que s’est jouée la décision d’autoriser une microfiltration sous le seuil de 0,8 micron », au terme d’une « concertation interministérielle », « dans la continuité des arbitrages pris par le cabinet de la Première ministre, Elisabeth Borne, mais sans que celle-ci ne semble informée », note le rapport.

« De son côté, la présidence de la République, loin d’être une forteresse inexpugnable à l’égard du lobbying de Nestlé, a suivi de près le dossier », ajoute la commission, qui se base sur « des documents recueillis par ses soins » : elle « savait, au moins depuis 2022, que Nestlé trichait depuis des années ». Alexis Kohler, à l’époque secrétaire général de l’Elysée, avait lui aussi reçu les dirigeants de Nestlé.

28 recommandations

Parmi les conséquences de cette gestion du dossier, le rapport note que l’industriel a pu continuer à commercialiser son eau sous l’appellation – lucrative – d’eau minérale naturelle. Aujourd’hui, Perrier attend la décision de renouvellement de son autorisation d’exploiter la source comme « eau minérale naturelle ».

Alors que des hydrogéologues mandatés par l’Etat ont rendu un avis défavorable, la préfecture du Gard doit se prononcer d’ici au 7 août et, en attendant, a donné deux mois au groupe pour retirer son système de microfiltration, estimant qu’il « modifie le microbisme de l’eau produite, en contradiction avec la réglementation ». Nestlé dit disposer de solutions alternatives, qu’il souhaite proposer aux autorités.

Le rapport note que malgré les révélations d’il y a un an, il n’y a pas, à ce jour, « de vérifications exhaustives de l’absence de traitements interdits sur tous les sites de production d’eau conditionnée ». Il préconise ainsi, parmi 28 recommandations, un suivi qualitatif des nappes, « un contrôle effectif du niveau de prélèvement réalisé par les minéraliers », un meilleur étiquetage pour les consommateurs.

Les Echos, avec AFP

Publié le 19 mai 2025

E.R.M, identification des risques, LEGISLATEUR - REGULATEUR ET AMPLIFICATION DU RISQUE, quantification-cartographies, rgpd

RGPD : « ON NE POURRA PAS DIRE QUE L’ON NE SAVAIT PAS » (2). IMPACT et SANCTIONS.

20 juin 2024 carolineaubry Un commentaire

Après les conseils de lecture et l’actualité du risque de cyberfraude entrainant le traitement illicite-la perte-le vol de données (suivre le lien), je vous propose en lien avec le titre de mon contenu de revenir sur son impact très fort à travers un nouveau contenu :

Une infographie des sanctions récentes : les géants et les autres.

Les géants sont sanctionnés – Meta, Apple, EdF, H&M…-
Mais pas que… « La CNIL a adressé une importante sanction à l’encontre du Groupe CANAL+ ! »

ACTUS LES ECHOS – 6 juin 2024 – 8h02 – Données personnelles et IA : Meta visé par 11 plaintes en Europe

Le géant américain des réseaux sociaux Meta (Facebook, Instagram) est visé ce jeudi par des plaintes dans 11 pays européens pour un projet d’utilisation « illégale » des données personnelles de ses utilisateurs dans un programme d’intelligence artificielle, selon un communiqué de l’association Noyb.

Bête noire des géants de la tech, l’ONG viennoise demande aux autorités d’intervenir « en urgence » pour empêcher la mise en oeuvre de cette nouvelle politique de confidentialité, prévue le 26 juin. Si certaines données publiques sont déjà utilisées pour entraîner les modèles d’IA générative, Meta veut aller plus loin et « carrément prendre » l’ensemble des données de ses milliards d’utilisateurs collectées depuis 2007. Après ces 11 Etats, dont la France, la Belgique ou encore l’Allemagne, des procédures seront engagées dans les autres pays de l’UE « dans les prochains jours ».

Les Echos. 6 juin 2024

Infographie des amendes au titre du RGPD

La Commission irlandaise de protection des données, l’équivalent de la Cnil en France, a décidé la semaine dernière d’infliger une amende de 265 millions d’euros à Facebook pour avoir violé le règlement général sur la protection des données (RGPD), suite à une immense fuite de données d’utilisateurs survenue entre mai 2018 et septembre 2019. Cette amende est la quatrième infligée aux plateformes détenues par la société mère de Facebook, Meta. Même si cette somme peut sembler considérable, il ne s’agit pas du montant le plus élevé qu’une entreprise ait dû payer dans l’histoire du RGPD.

Comme le montre notre graphique, cet honneur discutable revient à Amazon, un autre géant du Web. En juillet 2021, le régulateur luxembourgeois avait infligé une amende monstre de 746 millions d’euros à la branche européenne du groupe américain, pour « non-respect des principes généraux de traitement des données dans le cadre du RGPD », d’après le suivi réalisé par CMS. La quatrième place de ce classement revient à la messagerie WhatsApp, suivie de trois amendes reçues par Google et d’une infligée à Facebook.

Le cadre réglementaire du RGPD vise à donner aux utilisateurs un plus grand contrôle sur leurs données et impose de nouvelles normes à la gestion des données personnelles en entreprise. Pour les contrevenants à ces règles, les sanctions sont souvent lourdes. Le RGPD a été mis en place le 25 mai 2018, en remplacement de la directive européenne sur la protection des données de 1995, et contient 99 articles. À ce jour, le suivi de CMR recense 1 507 violations individuelles du RGPD, bien que les données soient très probablement incomplètes puisque toutes les amendes ne sont pas rendues publiques.

Tristan Gaudiaut 5 déc. 2022

Les montants des sanctions finissent par de belles additions si on y ajoute les 5 milliards de dollars payés en 2019 aux autorités américaines et les 725 millions de dollars réglés ce mois-ci pour éteindre une action collective … et le metavers n’a pas encore fait jurisprudence…
La contribution des juges à la mise en conformité des réseaux sociaux a un coût que semblent prêts à supporter leurs acteurs.

Données personnelles : la somme des amendes contre Meta s’approche du milliard d’euros

Le champion des applications de réseaux social vient d’être une nouvelle fois sanctionné par la CNIL irlandaise. Celle-ci lui réclame 265 millions d’euros pour n’avoir pas su protéger les données de 500 millions d’utilisateurs de ses applications dans le monde.

C’est un cap symbolique que la maison mère de Facebook, Instagram et WhatsApp aurait préféré ne jamais franchir. Et encore moins au moment où les difficultés économiques s’accumulent et l’ont contraint au premier plan de licenciement de son histoire. Condamné une nouvelle fois à une gigantesque amende pour avoir échoué à protéger des données personnelles d’internautes européens, Meta cumule désormais quasiment 1 milliard d’euros d’amende auprès des régulateurs du Vieux Continent.

La dernière sanction en date punit le champion des réseaux sociaux car il n’avait pas su empêcher l’aspiration en 2019 puis la publication en 2021 de données relatives à plus de 500 millions des utilisateurs de ses applications dans le monde. Outre une amende de 265 millions d’euros annoncée lundi 28 novembre, la CNIL irlandaise indique avoir imposé à Meta des mesures correctives mais ne précise pas lesquelles.

Les conséquences du RGPD

Dans le détail, les cybercriminels étaient parvenus à détourner des fonctionnalités de découverte de nouveaux contacts – comme Facebook Search, Facebook Messenger Contact Importer et Instagram Contact Importer – pour constituer d’importants jeux de données qu’ils espéraient revendre au marché noir. A la suite de la parution de nombreux articles de presse, la DPC irlandaise avait ouvert une enquête en avril 2021. Meta assure y avoir pleinement coopéré.

Depuis 2018 et l’entrée en application du règlement européen sur la protection des données personnelles (RGPD), Meta est le groupe le plus sanctionné par les instances européennes. De Twitter à Google en passant par Amazon, aucun ne s’est autant attiré les foudres de ce règlement qui a considérablement durci les sanctions sur ce sujet et prévoit des amendes égales à 4 % du chiffre d’affaires mondial des contrevenants.

60 millions d’euros d’amende en France

A ce jour, l’amende la plus importante imposée à Meta est venue punir les manquements constatés sur Instagram en matière de protection des données des utilisateurs âgés de 13 à 17 ans. Pas moins de 405 millions d’euros ont été réclamés en septembre dernier à Meta, qui a fait appel. L’an dernier, le groupe de Mark Zuckerberg a par ailleurs été prié de payer 225 millions d’euros d’amende pour non-respect du RGPD sur WhatsApp. Mais il a, là encore, fait appel.

Plus modestement, Meta n’a pas échappé à une amende de 17 millions d’euros en raison de la découverte en fin d’année 2018 d’une douzaine de failles de sécurité désormais résorbées. En France, la CNIL présidée par Marie-Laure Denis a de son côté sanctionné la filiale européenne de Facebook d’une amende d’un montant de 60 millions d’euros, au motif que les utilisateurs de Facebook en France ne pouvaient pas refuser aussi facilement qu’ils les acceptaient les cookies, ces fichiers qui pistent leurs historiques de navigation. A l’échelle européenne, treize enquêtes concernant Meta sont toujours en cours.

Par Florian Dèbes. 28 nov. 2022

Une sanction de 600 000 euros à l’encontre de EDF

Plusieurs manquements sont concernés :

✔ L’obligation de recueillir le consentement des personnes à recevoir de la prospection commerciale par voie électronique
✔ L’obligation d’information et au respect de l’exercice des droits
✔ L’obligation d’assurer la sécurité des données personnelles

Données personnelles : Apple sous le coup d’une sanction symbolique de la CNIL

Le fabricant de l’iPhone va devoir s’acquitter d’une amende de 8 millions d’euros après une plainte de l’association France Digitale. Mais le gendarme français des données personnelles a retenu plusieurs circonstances atténuantes.

Les propriétaires d’iPhones pouvaient bien décliner les identifiants publicitaires mais le choix ne leur était pas proposé directement puisqu’ils devaient proactivement fouiller dans les paramètres de l’App Store.

Même les premiers de la classe ont parfois des mauvaises notes. Pourtant reconnu comme plus sérieux que bien d’autres champions américains de la tech en matière de protection des données personnelles, Apple vient d’en faire les frais. Averti par la CNIL, le fabricant de l’iPhone va devoir s’acquitter d’une amende de 8 millions d’euros.

La CNIL reproche à l’entreprise de Tim Cook d’avoir déposé sur le smartphone de ses clients français des identifiants destinés à personnaliser des publicités affichées dans l’App Store – le magasin d’applications d’Apple – avant d’avoir recueilli leur consentement. « Lors d’un contrôle en juin 2021, nous avons constaté deux manquements de la part d’Apple qui rendaient plus difficile de refuser les identifiants publicitaires que de les accepter », explique Louis Dutheillet de Lamothe, le secrétaire général du régulateur français des données personnelles.

Simili-cookies à la sauce Apple

Dans le détail, les propriétaires d’iPhones pouvaient bien décliner ces identifiants mais le choix ne leur était pas proposé directement puisqu’ils devaient proactivement fouiller dans les paramètres de l’App Store. Second manquement, particulièrement problématique pour la CNIL, la case autorisant le dépôt de ces simili-cookies à la sauce Apple était pré-cochée…

Cette sanction donne raison à l’association de start-up et d’investisseurs France Digitale qui avait saisi la CNIL en mars 2021. « Le jugement et la sanction de la CNIL viennent confirmer que la réglementation permet de freiner et condamner les comportements abusifs, en l’occurrence l’atteinte à la vie privée par Apple », se satisfait Maya Noël, sa directrice générale.

Symboliquement, l’association peut se réjouir : alors que nombres de ses membres ont le sentiment d’être pris à la gorge par les règles de protection de la vie privée imposées par Apple depuis avril 2021 aux développeurs d’applications pour iPhones et iPad, son action vient ébrécher l’armure de chevalier de la confidentialité volontiers endossée à Cupertino. Mais le groupe californien est toujours le seul à disposer de données de premières mains au sein de son écosystème, tandis qu’il développe à vive allure son activité dans la publicité en ligne.

Manquements corrigés

Par ailleurs, le montant de l’amende reste faible au regard des milliards de dollars de cash d’Apple. Bien que la Cnil se soit montrée plus sévère que ce qu’avait requis le rapporteur (6 millions d’euros) lors de l’audience en décembre dernier, l’amende est bien inférieure aux 60 millions d’euros infligés à Meta et il y a peu à Microsoft ou à la note de 150 millions d’euros adressée à Google.

Mais dans cette affaire, la directive européenne e-privacy s’appliquait, et non le plus exigeant règlement européen sur la protection des données personnelles (RGPD). La CNIL a aussi retenu plusieurs circonstances atténuantes. D’abord, les manquements ont été corrigés par Apple avant même la fin de la procédure. Ensuite, le dépôt de l’identifiant publicitaire étaient destinés à nourrir un système de personnalisation des publicités basés sur le comportement de cohortes d’utilisateurs et non un système individualisé, plus intrusif.

Lors de l’audience, Apple s’était défendu en niant toute gravité à la violation de la loi qui lui était reprochée et avait demandé la non-publicité d’une éventuelle sanction. « Nous sommes déçus par cette décision, la CNIL ayant précédemment reconnu que la façon dont nous diffusons les annonces dans l’App Store donne la priorité à la protection de la vie privée des utilisateurs », a réagi l’entreprise. Dans un court communiqué, la société annonce son intention de faire appel.

Florian Dèbes. 4 janv. 2023

La CNIL a adressé une importante sanction à l’encontre du Groupe CANAL+ !

La CNIL a reçu 31 plaintes émanant de personnes qui ont éprouvé des difficultés pour faire valoir leurs droits vis-à-vis de la société spécialisée dans l’édition de chaînes et la distribution d’offres de télévision payante, à savoir le GROUPE CANAL+. Ces plaintes portaient sur des questions liées à la prospection téléphonique, la divulgation de données bancaires et l’exercice de leurs droits.

À la suite des constatations effectuées lors des inspections menées par la formation restreinte de la CNIL, il a été conclu que la société avait enfreint plusieurs obligations prévues par le RGPD ainsi que le code des postes et des communications électroniques (CPCE).

Voici la liste des manquements retenus :

– Un manquement à l’obligation de recueillir le consentement des personnes à recevoir de la prospection commerciale par voie électronique (articles L. 34-5 du CPCE et 7 du RGPD)

– Des manquements à l’obligation d’information (articles 13 et 14 du RGPD) et au respect de l’exercice des droits (articles 12 et 15 du RGPD)

– Un manquement à l’obligation d’encadrer les traitements effectués par un sous-traitant par un contrat (article 28.3 du RGPD)

– Un manquement à l’obligation d’assurer la sécurité des données personnelles (article 32 du RGPD)

– Un manquement à l’obligation de notifier à la CNIL une violation de données (article 33 du RGPD)

Au regard de ces informations, la CNIL a prononcé une amende de 600 000 € à l’encontre du Groupe CANAL + et l’a rendue publique.

Le montant de cette amende a été décidé au regard des manquements retenus, ainsi qu’en tenant compte de la coopération de la société et de l’ensemble des mesures qu’elle a prises au cours de la procédure pour se mettre en conformité.

LEGISLATEUR - REGULATEUR ET AMPLIFICATION DU RISQUE, rgpd

RGPD : « ON NE POURRA PAS DIRE QUE L’ON NE SAVAIT PAS. »

6 juin 2024 carolineaubry Un commentaire

Cette phrase empruntée à Jean-Philippe Riehl (source LI) m’a donné envie de revenir sur le 5^ème anniversaire de l’application de RGPD, le 11 mars 2024, que j’avais laissé passer.

Le RGPD est ce que j’appelle un « amplificateur » de risque. Du risque de cyberfraude qui se traduit par le traitement illicite-la perte-le vol de données.

Ce risque arrive en tête en France et dans le monde du baromètre des risques d’Allianz 2024.

J’ai souvent écrit sur le RGPD :

Dans l’ouvrage co-écrit avec N.Dufour : Voir Chapitre I L’activité des Risk Managers, p117-122 Dans l’ouvrage : Aubry C., Dufour N., Risk Management. Organisation de la Fonction Risk Manager. Méthodes de gestion des risques, 2022
Sur ce blog, notamment en janvier 2021 et en 2020 en y consacrant plusieurs contenus. Cliquez sur ce lien pour y accéder ou allez sur le blog et retrouvez-les dans la rubrique « Législateur-Régulateur et amplification du risque »

Des conseils de lecture : deux rapports de la CNIL

A l’occasion de cet anniversaire, la CNIL propose deux bilans dont je vous conseille la lecture :

Ce mois-ci sur le BLOG :

Je vous propose en lien avec le titre de mon contenu de revenir sur l’actualité de ce risque / sur son l’impact à travers trois nouveaux contenus :

Son actualité / Paris 2024 : nouveau vol d’informations confidentielles à l’approche des JO ! / Utilisation des données personnelles et IA par Méta
Son impact / Une infographie des sanctions récentes : les géants sont sanctionnés mais pas que
Son impact / Non-respect du RGPD et concurrence déloyale

Vol d’informations à l’approche des JO

En l’espace d’une semaine, deux ordinateurs et du matériel informatique de personnes travaillant pour l’organisation des JO de Paris ont été volés.

Comme l’écrit Emmanuelle Hervé sur LI : « Au-delà du caractère plus ou moins sensible, voire confidentiel, des données pouvant être ainsi récupérées, ces vols, opportunistes ou ciblés, révèlent un manque de prise en compte des enjeux de sécurité et de protection de l’information ».

Paris 2024 : nouveau vol d’informations confidentielles à l’approche des JO !

Un ordinateur contenant les plans d’accès et de circulation de certains événements pendant les Jeux olympiques a été dérobé à l’intérieur de la voiture de la secrétaire générale de la direction de l’hôpital Avicenne.

Nouvelle ombre au tableau des JO. Quelques jours après le vol d’un ordinateur contenant des plans de sécurisation de la ville de Paris pour les Jeux olympiques, un autre larcin en lien avec l’événement a été observé, à Drancy cette fois-ci. D’après les informations de BFM TV révélées le 4 mars 2024, vendredi dernier, un autre ordinateur a été subtilisé. Une plainte a ainsi été déposée par la secrétaire générale de la direction de l’hôpital Avicenne. Cette dernière a vu sa voiture dégradée sur le parking d’un centre commercial. Elle a expliqué aux policiers qu’elle était en train de faire ses courses pendant à ce moment-là.

L’ordinateur volé était à usage professionnel. Malheureusement, il contenait des informations telles que les plans d’accès et de circulation de certains événements pendant les Jeux olympiques. Le commissariat est chargée des investigations. Dans le même temps, une enquête a été ouverte, indique BFM TV, relayant une information du parquet de Bobigny. Les chefs de vol avec dégradation ont été retenus. Le parquet fait savoir que « les informations relatives aux JO figurant dans l’ordinateur n’étaient pas confidentielles, et destinées à être publiques notamment sur les plans de circulation (logistique) de divers hôpitaux du département ».

Des données sensibles déjà subtilisées

Quelques jours plus tôt, le 26 février, un autre vol de données avait fait tache. Cette fois-ci, il s’agissait d’un ordinateur et de deux clés USB contenant des données dites « sensibles ». Elles concernaient la cybersécurité de la mairie de Paris pendant les Jeux olympiques. À la suite du dépôt de plainte d’un employé de la municipalité de la capitale, un homme avait été arrêté. Il a finalement été condamné à une peine de sept mois de prison.

Par Pierre Fougères Publié le 04/03/2024

ACTUS LES ECHOS – 6 juin 2024 – 8h02 – Données personnelles et IA : Meta visé par 11 plaintes en Europe

Les Echos. 6 juin 2024

LEGISLATEUR - REGULATEUR ET AMPLIFICATION DU RISQUE

A VENIR : LA LOI FRANÇAISE SUR LE DEVOIR DE VIGILANCE. BILAN A L OCCASION DE SON 6ème ANNIVERSAIRE

14 avril 2023 carolineaubry Laisser un commentaire

Après une absence de presque deux mois suite à un accident de ski, je suis en mesure de vous annoncer une reprise des publications la semaine prochaine !

Le 27 mars 2023, la loi sur le devoir de vigilance adoptée par la France a fêté son 6^ème anniversaire.

Je vous propose à cette occasion, dans les prochaines publications :

un rappel des grandes lignes de la loi ;
un détour par la notion d’amplification du risque par le régulateur-législateur pour comprendre l’impact qu’elle a pu avoir sur l’approche de gestion des risques des entreprises françaises ;
un bilan ;
une illustration de ses insuffisances à travers l’exemple de TOTAL.

cyberisque-cybersécurité, LEGISLATEUR - REGULATEUR ET AMPLIFICATION DU RISQUE, RISQUES

RISQUES ET GESTION DES RISQUES INDISPENSABLES DANS LES COLLECTIVITES TERRITORIALES. ILLUSTRATION SUR LE CYBERRISQUE.

6 janvier 2023 carolineaubry Laisser un commentaire

Je commence par vous souhaiter à tous, lecteurs de mon blog, partenaires LinkedIn, partenaires de partenaires…une excellente année 2023. J’espère qu’elle sera marquée par des projets qui vous motivent, des décisions qui vous ressemblent et l’énergie pour agir.

J’ai terminé 2002 avec les collectivités territoriales. Je débute 2023 avec une illustration de l’importance stratégique des risques et de la gestion des risques dans les collectivités territoriales.

Les publications des semaines à venir seront relatives au RGPD à travers une thématique intitulée : LE RGPD QUOI DE NEUF ?

Il est essentiel que les collectivités territoriales se forment aux risques et à leur gestion.

🏆 J’ai partagé avec des élus des collectivités territoriales mes connaissances dans les domaines des RISQUES – GESTION des RISQUES

🗼 Dans le cadre d’une formation d’une journée intitulée « La gestion des risques : prévenir pour agir »

🗼 Organisée le 23 novembre 2022, dans le cadre du Congrès des Maires

🗼 Ses objectifs étaient de montrer aux élus comment catégoriser et caractériser les risques et mettre en place une démarche de gestion des risques (étapes, outils)

🏆 Les élus de Martinique auxquels je m’adressais se sont montrés très intéressés ; ils sont concernés par les risques et leur gestion car :

🗼confrontés aux risques dans leur quotidien ;

🗼placés en première ligne par le régulateur-législateur (voir « RISK MANAGEMENT. ORGANISATION ET POSITIONNEMENT DE LA FONCTION RISK MANAGER. METHODES DE GESTION DES RISQUES. », CH I Définition des notions mobilisées et contextualisation de la Fonction Risk Manager, Amplificateur de risque 1 : le régulateur, législateur, p. 53-65.

https://librairie.gereso.com/livre-entreprise/risk-management-fris2.html

Les collectivités territoriales sont confrontées à toute une « palette de risques » et y sont souvent peu préparées. Je l’ai notamment illustré à travers le cyber risque.

🏆 Pour aller plus loin sur ce thème, je vous propose de :

🗼 relire sur ce blog un article intéressant de cyberattaques contre trois municipalités. On y retrouve les éléments d’identification d’un risque : description de celui-ci, causes, impact. Et quelques Plans d’Actions ;

🗼 de lire ci-dessous un court article écrit dans « The Conversation » et qui alerte une nouvelle fois écrit l’auteur « sur les dangers cyber contre les collectivités territoriale….Espérons que l’on finisse enfin par réaliser – au-delà des ransomwares actuels qui sont déjà fort préoccupants – l’ensemble des enjeux liés à une bonne sécurisation de leurs SI et l’impact qu’auraient des cyberattaques ciblant ces derniers en termes politiques, économiques et sociétaux. Sachant que le conflit actuel en Ukraine tend à rappeler clairement l’importance d’une bonne résilience des CT ainsi que leur rôle majeur en matière de D.O.T…. »

Cyberattaques contre les collectivités territoriales : le pire est-il à venir ?

Depuis le début de la crise du Covid-19 et notamment durant la période de confinement, on assiste à une augmentation sans précédent des cyberattaques touchant les collectivités territoriales françaises (régions, départements, communes, communautés de communes, etc.). Toutefois, ces dernières sont souvent occultées par celles qui affectent les établissements de santé du fait de leurs conséquences potentiellement dramatiques, à l’image de l’attaque qui a touché, début décembre, le centre hospitalier de Versailles, au Chesnay-Rocquencourt (Yvelines).

Nos travaux sur la vulnérabilité des collectivités territoriales françaises face aux cyberattaques ont notamment été sanctionnés par la première (et seule à ce jour) thèse en sciences de gestion soutenue dès 2012 et donné lieu à plusieurs articles scientifiques ultérieurs. Ces travaux furent l’occasion d’appeler à la mise en place d’une politique publique nationale d’accompagnement des collectivités territoriales relativement à la nécessaire sécurisation de leurs systèmes d’information (SI), malheureusement sans grand succès.

Si nous aurions préféré avoir tort quant aux évolutions envisagées, force est de constater que le sujet est finalement apparu sur l’agenda médiatique depuis la crise du Covid pour ne plus la quitter depuis lors. Eu égard à la structuration territoriale française (45 205 collectivités locales en 2022), ces dernières revêtent une importance prépondérante, autant pour leur proximité directe avec les citoyens qu’en termes de services rendus. C’est vraisemblablement ce constat qui a amené de plus en plus de groupes de hackers à les choisir pour cibles.

Les cyberattaques menées demeurent pour le moment essentiellement liées à l’envoi de ransomwares (logiciels malveillants se diffusant à l’intérieur d’un système d’information et chiffrant l’ensemble des données accessibles) et visent un objectif exclusivement pécuniaire au travers de la demande d’une rançon dont le paiement préalable conditionne l’envoi (ou pas) d’un code de déchiffrement. Ce type d’offensive s’avère effectivement d’une efficacité redoutable en cas de sauvegarde non redondante.

Triple défi numérique

Appelant de nos vœux une véritable prise de conscience des enjeux liés à une mauvaise sécurité des SI, il nous semble impératif d’alerter sur d’autres types d’atteintes aux données des collectivités, d’autant plus dangereux selon nous qu’ils s’avèrent potentiellement cumulatifs.

À trop se focaliser sur les rançongiciels touchant leurs serveurs, on en vient à oublier que les collectivités territoriales se situant intrinsèquement à l’intersection de trois univers (politique, économique et sociétal), celles-ci relèvent quotidiennement trois défis numériques majeurs : l’administration électronique, l’e-démocratie et la dématérialisation des appels d’offres.

Dépassant largement la mise à disposition des administrés de nouveaux moyens de communication, l’administration électronique, régulièrement plébiscitée par les Français depuis plusieurs années, est devenue un outil stratégique de service public. Et cet état de fait devint encore plus évident durant la période de confinement relative au Covid-19 : il est aisé d’imaginer l’impact politique et social qu’auraient engendré des cyberattaques privant des citoyens d’un moyen d’interaction devenu d’autant plus essentiel qu’ils se trouvaient dans l’incapacité de se déplacer pour effectuer la moindre démarche administrative. Il convient par conséquent de sécuriser les SI afférents afin d’assurer une continuité de service public en cas de crise majeure.

Le même problème se pose en ce qui concerne l’e-démocratie. Nous avons récemment mis en évidence l’existence d’une typologie des interactions entre la collectivité et ses administrés selon le support numérique utilisé : interaction forte (échanges directs entre les citoyens et les exécutifs territoriaux), modérée (enquête en ligne ou dialogue sur les réseaux sociaux) ou faible (remontée d’informations ponctuelles à l’initiative des administrés).

Le degré de gravité d’une cyberattaque touchant les SI d’e-démocratie sera donc directement corrélé au vecteur numérique : pertes ou vols potentiels d’informations à caractère personnel dans les deux premières hypothèses et perte de confiance dans tous les cas. Ici encore se pose la question de l’impact de telles attaques contre des outils précisément mis en place pour tenter de favoriser une meilleure participation à la vie publique de citoyens de plus en plus méfiants vis-à-vis des institutions démocratiques.

À cela s’ajoute enfin la possibilité que les SI dédiés aux appels d’offres des collectivités puissent également être ciblés. Que ce soit en termes de fonctionnement ou d’investissement une collectivité, à l’image de la grande majorité des organisations, se trouve dans l’obligation de faire appel à des prestataires extérieurs.

La dématérialisation de ces procédures fut précisément menée pour permettre une meilleure fluidité dans la gestion des appels d’offres, ainsi que dans le souci de permettre de simplifier les procédures afin de permettre à des petites et moyennes entreprises (PME) de répondre à ceux-ci avec une chance raisonnable de succès. Une offensive numérique visant les échanges entre les soumissionnaires et la collectivité s’avérerait également lourde de conséquences, non seulement en matière économique mais également en termes de crédibilité intrinsèque.

Acteurs de la défense

Face à l’ensemble des défis précités, on peut espérer que le volet dédié au financement numérique des collectivités territoriales du plan gouvernemental « France Relance » permettra d’améliorer sensiblement la sécurisation des SI territoriaux. Pour autant, l’opportunité budgétaire ne fait pas tout, a fortiori lorsque les projets potentiellement finançables entrent immanquablement en compétition les uns avec les autres et que les capacités d’accompagnement financier d’origine étatique demeurent par nature limitées.

Or, il convient de conserver à l’esprit qu’en matière de sécurisation des SI, comme nous le mettions déjà en évidence dans le premier ouvrage dédié à cette problématique et paru dès 2014, l’une des conditions essentielles du succès, voire la principale d’entre elles, relève d’une volonté politique forte au sens ou l’impulsion doit venir directement des exécutifs territoriaux.

Notre expérience d’universitaire spécialiste du sujet et d’ancien élu d’une ville de plus de 100 000 habitants nous incite donc à préconiser la définition d’une véritable politique publique d’accompagnement des collectivités territoriales en matière de sécurisation de leurs SI. Et ce d’autant plus qu’à la lumière des enseignements tactiques issus du conflit ukrainien, on redécouvre la nécessité de renforcer la défense opérationnelle du territoire français dont les collectivités territoriales demeurent des parties prenantes essentielles.

Rémy Février. Décembre 2022

cyberisque-cybersécurité, LEGISLATEUR - REGULATEUR ET AMPLIFICATION DU RISQUE, RISQUES

ASSURANCE CYBER-RANCONS : une nouveauté le 18 octobre 2022 !

21 octobre 2022 carolineaubry Laisser un commentaire

La semaine dernière, je vous faisais un point sur la légalisation par le gouvernement de l’indemnisation des cyber-rançons à partir d’un article et des deux réactions face à cette légalisation. https://gestiondesrisques.net/2022/10/13/blog-https-gestiondesrisques-net-la-rentree-un-peu-en-decale/

Rebondissement, le 18 octobre 2022 : la condition de plainte est modifiée par le Sénat.

Celui-ci nous rappelle, s’il en était besoin, le contenu souvent peu structurant des mesures prises par les pouvoirs publics français (loi NRE, loi SF, principe de précaution…). Or celui-ci est bien souvent à l’origine des logiques de sur-réaction ou de sous-réaction des entreprises. Voir le rôle d’amplificateur du risque du régulateur-législateur que je présente dans mes travaux comme l’un des facteurs qui explique l’ampleur considérable prise depuis la fin des années quatre-vingt-dix par la Fonction Risk Manager. Voir Ouvrage d’Aubry et Dufour : « Risk Management. Organisation et positionnement de la Fonction Risk Manager. Méthodes de gestion des risques ; p.53-65. 👉 https://librairie.gereso.com/livre-entreprise/riskmanagement-fris2.html

Je vous livre ci-dessous l’analyse de Paul Berger de Gallardo, Avocat / Assurances, cyber, risques industriels.

🔔 Assurer la cyber-rançon : la condition de la plainte modifiée par le Sénat 🔔

🔹 7 septembre 2022 : dépôt d’un projet de loi par le Gouvernement proposant d’encadrer le remboursement des cyber-rançons par les #assurances, en rendant obligatoire le dépôt d’une « plainte » par la victime « au plus tard 48 h après le paiement de cette rançon ».

🔸 7 octobre 2022 : rédaction d’un amendement du sénateur Rémi Cardon qui transforme la condition d’assurance en une « pré-plainte » devant être déposée « dans les 24h suivant l’attaque et avant tout paiement ».

➡ Objectif : informer au plus vite les autorités compétentes pour agir dès la #cyber-attaque et réduire le nombre de rançons versées.

🔹 18 octobre 2022 : adoption du texte par le Sénat avec l’amendement précité, puis transmission à l’Assemblée nationale.

❓ Quelques interrogations sur cette condition d’assurance modifiée :

🔹 le dépôt d’un pré-plainte est-il opportun alors que ce mode de déclaration n’est pas prévu ni adapté pour les situations d’urgence ?

🔹 le point de départ du délai de 24h fixé au jour de l’attaque et non à celui de la demande de rançon est-il pertinent, alors que certains rançongiciels commencent à œuvrer bien avant que la victime en ait connaissance ?

🔹 le délai de 24h est-il tenable pour une (petite) entreprise sous le coup d’une cyber-attaque ?

cyberisque-cybersécurité, LEGISLATEUR - REGULATEUR ET AMPLIFICATION DU RISQUE, RISQUES

Blog. La rentrée, un peu en décalé…

13 octobre 2022 carolineaubry 2 commentaires

Comme d’habitude, une thématique / une progression / les liens vers les précédentes publications du blog sur cette thématique au début de chaque nouvelle publication.

La thématique de la rentrée : octobre, le cyber-mois

La progression :

– Un élément de contexte : l’impact du régulateur-législateur comme amplificateur du risque illustré à travers un article « Cyberattaque : le gouvernement légalise l’indemnisation des rançons », deux réactions et une mise en perspective

– L’évaluation du cyber-risque (ses causes, ses conséquences) à partir de l’actualité ; les cyberattaques continuent : un rapide état des lieux et un focus sur les cyberattaques visant les hôpitaux à partir de deux articles

– Les solutions pour prévenir le risque, l’atténuer ou l’accepter sous sa forme résiduelle

Le transfert vers les assureurs / lien vers une émission
La création par des grands groupes de leur propre société d’assurance
Les plans d’actions préconisés par l’ANSII

Les liens vers les précédentes publications du blog sur cette thématique :

🏅Le cyber risque, risque n°1 pour les entreprises.

❓ Un risque nouveau aux modalités multiples, un risque subjectif qui le rend difficile à appréhender et à gérer, un risque difficile (« illusoire ») à assurer, un risque amplifié par le régulateur-législateur

❓Evaluation du risque : une probabilité élevée (voir causes nombreuses) ; un impact fort (voir coût élevé)

🚴 Comment agir ?

👉 Indispensable, a minima complémentaire à l’assurance, mieux que l’assurance, https://gestiondesrisques.net/2022/05/05/ca-bouge-du-cote-du-cyber-risque-3-un-projet-de-loi-permettant-a-lassureur-de-rembourser-les-cyber-rancons/ mettre en place des plans d’actions pour gérer le cyber risque

👉 L’Agence Nationale de Sécurité des Systèmes d’Information (ANSII) propose des plans d’action et cinq mesures préventives pour gérer le cyber-risque.

Plans d’action / fraude au président

https://gestiondesrisques.net/2021/12/09/le-risque-variable-strategique-de-la-reflexion-des-entreprises-3-un-nouveau-risque-la-fraude-au-president-suite-un-exemple-de-plan-dactions/

Plans d’action / cyber-risques liés au télétravail

https://gestiondesrisques.net/2021/10/06/teletravail-risques-et-plans-dactions-ou-quels-plans-dactions-pour-gerer-les-risques-lies-au-teletravail-et-selon-quelle-approche-2/

https://gestiondesrisques.net/2021/09/29/quels-plans-dactions-pour-gerer-les-risques-lies-au-teletravail/

Nécessaire implication des salariés / gestion du cyber-risque

https://gestiondesrisques.net/2018/10/19/implication-des-collaborateurs-dans-la-demarche-de-gestion-des-risques-lexemple-du-cyber-risque/

Plans d’actions préconisés par l’ANSII

https://gestiondesrisques.net/2022/05/20/ca-bouge-du-cote-du-cyber-risque-4-comment-se-premunir-contre-une-cyberattaque/

Assurance : Bercy donne son feu vert à l’indemnisation des cyber-rançons

Dans un rapport obtenu par « Les Echos », le ministère de l’Economie plaide à son tour en faveur de la prise en charge des rançons en cas d’attaque cyber, à condition que l’entreprise victime porte plainte. La mesure figure dans un projet de loi du ministère de l’Intérieur, qui sera présenté ce mercredi.

Il n’y aura pas d’exception française sur les cyber-rançons. Le ministère de l’Economie acte à son tour le principe d’indemnisation des rançons payées par les entreprises et autres entités visées par les pirates du Net. A condition que la victime porte plainte, stipule, le très attendu rapport de Bercy pour « Le développement de l’assurance cyber », publié ce mercredi et consulté par « Les Echos ».

Cette disposition est inscrite dans le projet de loi d’orientation et de programmation du ministère de l’Intérieur, qui sera présenté ce mercredi en conseil des ministres. Il s’agit de la deuxième version d’un premier texte présenté en mars, dont l’examen n’avait pas débuté sous la précédente mandature. Le texte sera discuté au Parlement à partir d’octobre.

Danger de mort

« Ce projet de loi, qui s’appuie sur les travaux de notre groupe de travail, constitue un point d’équilibre entre la volonté de ne pas financer l’écosystème des cyberattaquants et la volonté d’éviter la mort de PME et TPE touchées par une attaque », explique Bercy. En France, la rançon moyenne réclamée atteignait environ 6.400 euros en 2021, en hausse de 50 % par an depuis 2016, mais certaines demandes se chiffrent en millions d’euros.

Le feu vert du ministère de l’Economie est une nouveauté. « Au moment de la prise de position du ministère de l’Intérieur, il y avait apparemment un manque de coordination entre la Place Beauvau, Bercy et la Justice », explique un bon connaisseur du dossier.

Dès le début d’année, le Haut Comité juridique de la place financière de Paris, saisi par Bercy, avait pris position en faveur de l’indemnisation des rançongiciels par les assureurs . A l’inverse, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) prône de son côté une interdiction , tout comme un rapport parlementaire publié fin 2021, ou bien « un encadrement strict ».

La prise en charge des rançons n’est pas formellement interdite en France. « Le remboursement d’une rançon par l’assureur est a priori licite et peut être comparé à l’assurance couvrant le risque de vol dont le fait générateur est une effraction », souligne même le rapport.

Attentisme

Pour autant, AXA France puis Generali France y avaient renoncé dans l’attente d’une clarification des autorités, de crainte d’être accusés d’être « pousse-au-crime ». Pour minimiser les risques, le rapport insiste sur la nécessaire coopération entre toutes les parties prenantes, notamment les forces de police et de justice.

Aujourd’hui, le gouvernement est pragmatique. Si la France n’offre pas un cadre juridique au paiement des rançons, le risque pourrait se déplacer sur d’autres marchés européens ou mondiaux : les entreprises tricolores pourraient être attaquées dans leurs implantations à l’étranger, ou tentées de souscrire des contrats auprès d’acteurs non régulés en France.

D’autres pistes sont avancées pour renforcer l’attractivité de l’assurance cyber, qui reste un marché de niche. « Les risques cyber sont une priorité du gouvernement pour protéger notre société, notre modèle social et notre souveraineté, rappelle le ministère de l’Economie. La crise sanitaire a été un révélateur des opportunités qu’apportent les moyens numériques pour notre économie, mais aussi des risques encourus par les entreprises, notamment les PME et TPE. Or, sur le plan de l’assurance cyber, l’Europe est en retard sur les Etats-Unis. »

Observatoire de la menace cyber

En France, les polices d’assurance cyber stricto sensu ont collecté 219 millions d’euros de primes en 2021, soit 3,9 % du marché de l’assurance dommages des professionnels dans l’Hexagone. Les grandes entreprises sont les principales utilisatrices de contrats vendus par une poignée d’acteurs : AXA et les anglo-saxons Chubb, AIG et Beazley. L’an dernier, une dizaine de groupes français y ont toutefois renoncé , jugeant les garanties trop limitées ou trop chères, selon l’Association des managers de risques (Amrae).

Pour développer des pratiques de place, l’ACPR, le régulateur de l’assurance, devra « étudier les principales clauses du marché », en coordination avec l’association France Assureurs, explique Bercy. « Il ne s’agit pas de définir des clauses type dans le Code des assurances, mais d’analyser s’il est nécessaire de prendre des dispositions pour améliorer le niveau d’information des assurés », précise le ministère. Autre ambition, à moyen terme : créer un observatoire de la menace cyber, pour répondre au manque criant de données.

Amélie Laurin. Le 7 sept. 2022

L’analyse d’Emmanuelle Hervé

💻 C’est une nouvelle surprenante. Alors que les cyberattaques font rage dans les hôpitaux, leur statut public interdit tout paiement de rançon. Pour les entreprises privées, la règle est encore floue.

📃 Plus de 200 rançons ont été recensées l’an passé. Jusqu’à présent, l’État n’interdisait pas de payer les pirates, mais le déconseillait vivement. Le gouvernement va mettre fin à la zone grise entourant le paiement, par les assureurs, des rançons liées à des piratages informatiques. Les entreprises pourraient ainsi payer les escrocs et se faire rembourser par leurs assureurs en échange d’un dépôt de plainte.

🖲 Cette mesure liée aux cyber-rançons « sera partie intégrante du projet de loi d’orientation et de programmation du ministère de l’Intérieur (LOPMI) », ajoute le ministère de l’Économie. Si certaines rançons peuvent atteindre plusieurs millions d’euros, la moyenne des montants demandés se situe autour de 6 400 € en 2021, en hausse annuelle de 50 % sur les cinq dernières années.

🦾 Si les assurances et le gouvernement se montrent favorables au remboursement, l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI – Agence nationale de la sécurité des systèmes d’information) prône de son côté une interdiction, emboîtant le pas d’un rapport parlementaire publié fin 2021 et porté par la députée LREM, Valéria Faure-Muntian. Certaines critiques alarmant le gouvernement sur le risque d’escalade des cyberattaques en cas de paiement des rançons. Rappelons que le marché de l’assurance cyber ne représente que 219 millions d’euros de primes en 2021, soit 3,9 % du marché de l’assurance dommages des professionnels en France.

La réaction de Guillaume Poupard, directeur de l’ANSII

Désabusé, Guillaume Poupard, directeur de l’ANSSI, a réagi ce matin avec humour à l’annonce en commentaire d’une publication LinkedIn. En effet, l’agence prône de son côté une interdiction ou, à minima, un « encadrement strict ».
Conditionnée à un dépôt de plainte, la mesure exprime la volonté du gouvernement de ménager les PME et TPE touchées par des cyberattaques.
Alimentation de la criminalité et déresponsabilisation des acteurs, la communauté #cyber a vivement réagi à la mesure et aux dangers qu’elle peut représenter.

Une interrogation sur le rôle de l’état comme amplificateur de risques

Le législateur-régulateur a contribué et contribue à la diffusion de ce que M. Power appelle l’image d’un monde plus risqué et l’ont amplifiée. Ils amplifient la notion de responsabilité du dirigeant en cas de négligence.

Le concept d’amplification sociale du risque suggère que les risques sont amplifiés et instrumentalisés par des institutions telles que le régulateur-législateur et les médias. Le rôle du régulateur-législateur a commencé en France avec la Loi de Sécurité Financière…les lois, règlements, normes n’ont cessé de se multiplier.

Voir Ouvrage d’Aubry et Dufour : « Risk Management. Organisation et positionnement de la Fonction Risk Manager. Méthodes de gestion des risques ; p.53-65.

👉 https://librairie.gereso.com/livre-entreprise/riskmanagement-fris2.html

élargissement du domaine du risque, cyberisque-cybersécurité, E.R.M, GESTION DES RISQUES, LEGISLATEUR - REGULATEUR ET AMPLIFICATION DU RISQUE, RISQUES

CA BOUGE DU COTE DU CYBER-RISQUE (3) UN PROJET DE LOI PERMETTANT A L’ASSUREUR DE REMBOURSER LES CYBER-RANCONS

5 Mai 2022 carolineaubry 5 commentaires

🏅Le cyber risque, risque n°1 pour les entreprises.

❓Evaluation du risque : une probabilité élevée (voir causes nombreuses) ; un impact fort (voir coût élevé)

🚴 Comment agir ?

👉 Un projet de loi permettant le remboursement par l’assureur des cyber-rançons

Le post très pédagogique de Paul Berger de Gallardo, avocat, pour faire un point sur le projet de loi

Deux articles pour vous positionner. Et vous quel est votre avis sur ce projet de loi ? Une bonne solution pour les assureurs ? Une solution pour gérer le cyberrisque ?

👉Les plans d’action préconisés par l’ANSII pour gérer le cyberrisque – dans 15 jours sur le blog

LE POST TRES PEDAGOGIQUE DE PAUL BERGER DE GALLARDO, AVOCAT, POUR FAIRE UN POINT SUR LE PROJET DE LOI.

🔐 Le remboursement par l’assureur des cyber-rançons conditionné à un dépôt de plainte ?

🚨 Un projet de loi prévoit d’encadrer les clauses de remboursement des rançongiciels par les #assurances, en rendant obligatoire le dépôt d’une plainte par la victime dans les 48h après le paiement de cette rançon.

🔹 Quoi ? Le rançongiciel ou ransomware est ainsi défini par l’ANSSI – Agence nationale de la sécurité des systèmes d’information : « envoi à la victime d’un logiciel malveillant qui chiffre l’ensemble de ses données et lui demande une rançon en échange du mot de passe de déchiffrement ».

🔸Pourquoi ? 20 % des entreprises françaises déclarent avoir subi au moins une attaque par rançongiciel au cours de l’année 2020, atteignant souvent l’activité économique et perturbant parfois la production.

🔕 L’absence fréquente de plainte des victimes, par crainte de reconnaître leur vulnérabilité et de ternir leur image, empêche toute investigation.

🔹Est-ce légal de payer une rançon, et d’être remboursé par son assurance ? Ainsi que l’a rappelé récemment le HCJP (Haut Comité Juridique de la Place Financière de Paris), le paiement d’une rançon par la victime d’une extorsion ne constitue ni un délit ni un acte de complicité dès lors que le consentement au paiement n’est pas libre mais résulte de la contrainte.

➡️ L’assurance du risque de rançongiciel ne paraît se heurter à aucun obstacle juridique majeur.

🔸 Quelles sont les solutions possibles ? L’étude d’impact du projet de loi a analysé trois solutions : 1️⃣ assujettir le remboursement d’une rançon versée par un assureur au dépôt de plainte 2️⃣ rendre obligatoire la déclaration à TRACFIN de tout paiement d’une rançon 3️⃣ promouvoir au niveau européen l’interdiction du paiement des rançons par les assureurs suite à une #cyber-attaque.

⁉️ Pourquoi retenir la première solution ? L’interdiction du paiement des rançons et de leur #assurance pèserait de manière démesurée sur les entreprises qui jouent parfois leur survie. Le dépôt d’une plainte rapide permettrait aux autorités compétentes de bénéficier des informations nécessaires à la poursuite des infractions et de « casser » le modèle de rentabilité des cyber‑attaquants.

🔹 Comment ? Par la création d’un article L. 12-10-1 du Code des assurances prévoyant cette condition de garantie au sein d’un nouveau chapitre « L’assurance des risques de cyber-attaques ».

🕰 La règle envisagée serait d’application immédiate et entrerait en vigueur également pour les contrats en cours.

⬇️ Que pensez-vous du paiement des cyber-rançons, de leur assurabilité et de ce projet de condition de garantie ? ⬇️

DEUX ARTICLES POUR VOUS POSITIONNER / ET VOUS QUEL EST VOTRE AVIS SUR CE PROJET DE LOI ? SOLUTION POUR GERER LE CYBERRISQUE ?

Loi LOPMI : pour payer la rançon, il faudra déposer plainte

Sécurité : Le nouveau projet de loi d’orientation et de programmation encadre notamment la transition numérique des forces de l’ordre et propose un régime encadrant le paiement des rançons dans les affaires de rançongiciels.

Le projet égrène une douzaine de mesures, dont une partie concerne le développement des capacités des policiers et des gendarmes en matière de réponse aux crimes et délits en lien avec le numérique, ainsi que des dispositions visant à équiper les forces de l’ordre de nouveaux équipements.

Parmi les nouvelles dispositions, le gouvernement propose une première approche visant à encadrer le paiement des rançons suite à des attaques au ransomware. Comme le précise l’article 5 du projet de loi, le versement d’une rançon couverte par l’assureur de la société victime est possible si la victime accepte de déposer plainte dans les 48 heures après le paiement de la rançon.

Pas d’interdiction du paiement des rançons

Une manière de trancher le débat qui faisait rage depuis plusieurs mois autour du paiement des rançons exigées par les groupes de rançongiciels. Le directeur de l’Anssi avait allumé la mèche en fustigeant publiquement les « intermédiaires » qui acceptaient de payer les rançons, mais il avait également reconnu que cette possibilité devait rester ouverte dans certains cas. Depuis, les assureurs étaient nombreux à réclamer « une clarification » des règles sur le sujet, certains ayant choisi de cesser de proposer leurs assurances cyber prévoyant le paiement de rançons dans les affaires de ransomware.

En la matière, le gouvernement a donc choisi de s’aligner sur la proposition émise par le haut comité juridique de la place financière de Paris, qui avait été saisi du sujet et a publié un rapport à la fin du mois de janvier sur la question. Le haut comité recommandait de ne pas interdire purement et simplement le paiement des rançons, mais de conditionner celui-ci à un dépôt de plainte. Cette approche laisse donc une certaine marge de manœuvre aux victimes et à leurs assureurs, en leur permettant d’envisager le paiement d’une rançon pour espérer récupérer l’accès aux données. Et elle donne un coup de pouce aux forces de l’ordre qui ont du mal à convaincre les entreprises de déposer plainte après une attaque informatique.

Renforcer les forces de l’ordre sur le numérique

Outre cette disposition, le projet de loi prévoit également d’étendre les enquêtes sous pseudonyme, jusqu’alors réservées à certains délits concernant le trafic de drogues et d’armes, à l’ensemble des crimes et délits punis d’une peine d’emprisonnement. Le projet de loi prévoit également d’ouvrir aux forces de police la saisie « d’actifs numériques », terme utilisé pour décrire les cryptomonnaies et autres actifs basés sur une blockchain, aujourd’hui fréquemment utilisés dans le blanchiment d’argent et les affaires de rançongiciels.

Le texte reprend des mesures annoncées par le président de la République lors du discours de clôture du Beauvau de la sécurité, comme la place d’un « numéro 17 » dédié à la fraude informatique, la création de 1 500 postes de cyberpatrouilleurs et la création d’une agence du numérique des forces de sécurité, chargée de superviser l’équipement des policiers et gendarmes en smartphones et accessoires nécessaires aux enquêtes. Le montant prévu de ces différents investissements est estimé à 8 milliards d’euros.

Adopté en conseil des ministres, le texte doit maintenant être soumis au vote du parlement. Mais, calendrier oblige, celui-ci ne sera présenté qu’après l’élection présidentielle, donc pour la prochaine législature. Un timing relevé par le Conseil d’Etat dans son avis sur la loi, qui remarque le calendrier « pour le moins habituel » pour un projet de loi de ce type.

Par Louis Adam. Mars 2022

Cyberattaques : les assureurs rassurés sur la possibilité de couvrir les rançons

Un projet de loi prévoit qu’une entreprise victime d’une cyberattaque et contrainte de payer une rançon devra déposer plainte pour obtenir la prise en charge de ce paiement par son assureur. Une bonne nouvelle pour les représentants du secteur.

Les promesses ont mis du baume au coeur des syndicats de policiers mais aussi… des assureurs. Le plan de modernisation des moyens des forces de l’ordre , présenté par le gouvernement à la mi-mars, est en effet considéré par la profession comme une bonne nouvelle pour le développement dans l’Hexagone des assurances contre les cyberattaques.

Le projet de loi, dit LOPMI, prévoit notamment d’obliger les entreprises victimes d’un rançongiciel à porter plainte dans les 48 heures suivant le paiement d’une rançon pour obtenir sa prise en charge par l’assurance. Et ce, afin « d’améliorer l’information des forces de sécurité et de l’autorité judiciaire, et de ‘casser’ le modèle de rentabilité des cyberattaquants », note le projet.

Pas de changement sur le fond

« La France, comme les autres pays dans le monde, ne veut pas interdire l’incorporation de la garantie sur le paiement des rançons dans les contrats d’assurance cyber », a salué la semaine dernière, lors d’une conférence de presse, la présidente de la fédération France Assureurs, Florence Lustman, se félicitant d’une telle clarification.

La portée de cette disposition est à relativiser. Déposé à quelques semaines de l’élection présidentielle, le projet de loi n’est à ce stade pas à l’étude au Parlement et son avenir dépendra du résultat du scrutin. Par ailleurs, si la mesure était adoptée, elle ne changerait pas les habitudes. Elle « ne change rien sur le fond car les assureurs imposaient déjà un dépôt de plainte », explique Mickaël Robart, expert chez le courtier Diot-Siaci.

« Mais elle montre que le risque cyber est plutôt traité par les assureurs de façon responsable. » Ceux-ci veulent croire qu’avec ce projet de loi, il n’y a plus d’insécurité juridique : les services de l’Etat ont tranché, notamment Bercy qui a lancé l’été dernier des travaux sur la cyberassurance .

Autrement dit, ils n’iront pas dans le sens du patron de l’Agence nationale de la sécurité des systèmes d’information (ANSII) et de la vice-procureure en charge de la cybersécurité au parquet de Paris. Au printemps dernier, ces derniers avaient estimé que la prise en charge des rançons par l’assurance pouvait encourager la cybercriminalité.

Pas de changement chez AXA France

En octobre, un rapport parlementaire avait préconisé l’interdiction du paiement des rançons. Au contraire, en début d’année, des experts avaient mis en garde contre les effets d’une telle interdiction.

Signe que le sujet est sensible, Generali France a décidé en début d’année de tourner le dos au paiement des rançons. Quant à AXA France, qui avait décidé de suspendre sa garantie rançon l’an dernier, il n’a pas changé de politique avec la loi LOPMI, indique un porte-parole.

Solenn Poullennec. Avril 2022.

Corruption, loi sapin II, place dans l'organisation, réglementation et amplification du risque, RISK MANAGER-FONCTION RISK MANAGER, RISQUES

RECAPITULATIF BLOG FEVRIER 2022

28 février 2022 carolineaubry Laisser un commentaire

Récap-Février-Caroline Aubry Télécharger

Corruption, loi sapin II, RISQUES

LE LEGISLATEUR-REGULATEUR, AMPLIFICATEUR DE RISQUE. DEUX NOUVELLES ILLUSTRATIONS ISSUES DE L’ACTUALITE. (2) LOI SAPIN II – L’OCDE POINTE LES PROGRES DE LA FRANCE MAIS SOULIGNE LE CHEMIN LUI RESTANT A PARCOURIR POUR PROTEGER LES ENTREPRISES –

23 février 2022 carolineaubry Laisser un commentaire

RAPPEL LOI SAPIN II

La loi Sapin II vise à prévenir les risques de blanchiment des capitaux, de financement du terrorisme et de la corruption – la corruption est le fait pour toute personne de solliciter une personne dépositaire de l’autorité publique, moyennant rémunération, un acte relevant de ses fonctions –. Elle propose six mesures pour cartographier le risque de corruption et le prévenir au niveau organisationnel et individuel. Cette loi n’oblige pas à une communication extérieure spécifique mais elle engage la responsabilité personnelle des dirigeants et celle de la société en tant que personne morale.

Nicolas Dufour et moi-même présentons davantage la loi Sapin II ainsi que les réglementations en vigueur et la soft-law (principe de précaution) dans notre ouvrage ; voir « La Fonction Risk Manager. Organisation. Méthodes et Positionnement », Ed Gereso, p.50.

https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

LIRE OU RELIRE

Vous pouvez également lire ou relire d’autres articles sur ce sujet sur le blog dans les rubriques corruption et/ou Loi Sapin II ou en recherchant par mots clés ou dans les archives mensuelles par date.

Par exemple, un article présentant les principaux résultats de l’enquête de l’Agence Française Anticorruption avec un lien pour y accéder, un article sur la cartographie des risques de corruption, un article intitulé « Trois ans après, où en sont les entreprises ? »

RISQUE DE CORRUPTION : LES PROGRES. LE CHEMIN A PARCOURIR

Cinq ans après la naissance de la loi Sapin 2, le cabinet de Bruno Le Maire donne son feu vert à ce qui ressemble à une nouvelle loi « Sapin 3 ». La loi Sapin 2 a marqué un véritable tournant dans la lutte contre la corruption en France en introduisant des changements importants dans la loi, en créant l’Agence française de lutte contre la corruption, et en ajoutant une dimension préventive qui n’existait pas ailleurs : l’obligation pour certaines entreprises privées de mettre en place des mesures anti-corruption.

Dans leur rapport rendu le 7 juillet 2021, les députés Raphaël Gauvain et Olivier Marleix, corapporteurs de la Commission des lois de l’Assemblée nationale chargée de l’évaluation de la loi Sapin 2, dressent un bilan positif de la loi Sapin II, mais notent que la France n’a pas progressé dans les indices internationaux de perception de la corruption depuis 2015. Ils ont relevé qu’en 2020, la France était classée 23e sur l’IPC de Transparency International, au même niveau qu’en 2015.

Je vous propose ci-dessous un article très complet qui fait le point sur les progrès accomplis et le chemin qui reste à parcourir avant d’aborder dans un prochain article ce que l’on sait de la loi Sapin III.

Risque de corruption : l’OCDE pointe les progrès de la France mais souligne le chemin lui restant à parcourir pour protéger les entreprises

Des progrès sont avérés mais la France doit encore intensifier ses efforts.

Le Groupe de travail sur la corruption, qui regroupe 44 pays de l’OCDE, a publié fin 2021 un rapport évaluant les progrès effectués depuis 2012 par la France dans la mise en œuvre de l’infraction de Corruption d’Agent Public Etranger (CAPE).

Les progrès réels de la lutte anticorruption

Le verdict est globalement positif : en quelques années, la France est devenue un interlocuteur « crédible » en matière de lutte contre la CAPE, et ce grâce à une restructuration profonde de son cadre législatif anti-corruption.

Plusieurs réformes sont à l’origine de ces progrès. D’abord, la création en 2013 du PNF (Parquet National Financier) et d’un service de police judiciaire dédié à la criminalité financière (OCLCIFF) ont permis d’augmenter le nombre de sanctions pénales pour corruption.

Ensuite, la loi Sapin 2, qui a permis d’introduire dans le droit français une obligation de conformité pour les entreprises. Ces mesures préventives, alliées à l’introduction de la justice négociée par CJIP (Convention Judiciaire d’Intérêt Public) ont radicalement transformé la responsabilité des personnes morales. Désormais, les entreprises sont intégrées à la stratégie de lutte anticorruption, puisqu’elles sont tenues – en amont – de prévenir les cas potentiels et – en aval – de prendre des mesures correctives et de coopérer avec les autorités.

Depuis 2012, 14 affaires de CAPE ont été résolues, aboutissant à la sanction de 19 personnes physiques et 23 personnes morales. Parmi ces affaires, 5 ont été résolues hors procès, grâce à une CJIP. Au demeurant, ces poursuites ont ciblé des acteurs économiques de grande envergure comme entre autres Airbus, Bolloré SE ou Systra.

Selon le rapport, il s’agit d’un véritable progrès si l’on compare à la période pré-2012, au cours de laquelle seules 3 condamnations de personnes physiques (et aucune personne morale) avaient eu lieu, pour des affaires d’envergure mineure. Cependant, même si ces résultats sont encourageants, le rapport met aussi en lumière un certain nombre de vulnérabilités du modèle français.

Des acquis fragiles, à consolider d’urgence

Même si le nombre d’enquêtes ouvertes pour CAPE a été multiplié par 3,5 depuis 2012, seulement 13% d’entre elles ont donné lieu à des condamnations ou à un règlement par CJIP. Cette proportion est très faible par rapport aux économies européennes comparables, pour lesquelles 39% des enquêtes donnent lieu à une condamnation. Par ailleurs, un nombre important d’allégations n’ont donné lieu à aucune enquête.

Selon le rapport, cette insuffisance n’est pas liée à une absence de volonté politique, mais au manque de ressources affectées à l’ensemble des maillons de la chaîne pénale. L’augmentation de ces moyens est donc une condition sine qua non à l’efficacité de la lutte anticorruption en France.

Le Groupe estime aussi que les avancées de la France sont fragilisées par certaines réformes récentes ou en cours. En 2021, par exemple, la durée d’enquête préliminaire a été limitée à trois ans : le rapport recommande d’allonger cette durée, afin de s’assurer de disposer de tous les éléments nécessaires à une sanction rapide et efficace

Autre hic : la possible refonte de l’AFA et de ses missions, envisagée par la proposition de loi déposée fin 2021 par le député Raphaël Gauvain, suscite des inquiétudes quant à la poursuite du travail d’accompagnement et de contrôle des entreprises. Le Groupe recommande donc de tout faire pour préserver les missions et les moyens alloués à l’AFA.

Le reste des recommandations concerne surtout la poursuite des avancées entamées : préserver le rôle d’enquête du PNF (ciblé par des critiques après la condamnation de Nicolas Sarkozy), poursuivre les efforts afin de développer une justice négociée efficace grâce aux CJIP, et continuer à améliorer la coordination entre les différents services pour l’émergence d’une justice mieux coordonnée.

La France ne doit donc pas relâcher ses efforts, et cela semble en bonne voie à ce jour : parmi les chantiers actuels, on peut citer la loi pour la confiance dans l’institution judiciaire visant à renforcer l’indépendance du parquet (adoptée fin 2021), ou encore la transposition (en cours) de la dispositive européenne sur les lanceurs d’alerte. Fin 2023, la France présentera à l’OCDE un rapport détaillant les mesures prises pour mettre en œuvre ces recommandations.

Cas détectés : la partie émergée de l’iceberg ?

Plus globalement le rapport estime que le nombre de cas détectés est probablement dérisoire par rapport au profil économique de la France et au nombre d’allégations de corruption dans les médias. En tant qu’acteur majeur dans l’économie mondiale, la France est en effet très présente dans des juridictions à haut risque comme l’Asie ou l’Afrique, et les entreprises françaises s’exposent dans des domaines risqués : aéronautique et spatial, production d’énergie nucléaire, industries manufacturières et extractives, armement, construction…

L’une des priorités, selon le rapport, doit donc être l’amélioration de la détection. La France a déjà pris certaines mesures afin d’améliorer la coordination entre ses services : par exemple en 2020, la circulaire Belloubet a enjoint les intervenants à « exploiter l’ensemble des canaux de signalement existants ». Mais ces canaux, comme les postes diplomatiques ou les lanceurs d’alertes, ont été très peu utilisés ; la grande majorité des affaires poursuivies étant toujours détectées par Tracfin, la cellule de renseignement française anti-blanchiment, on peut dire que la diversification des sources d’alerte n’a pas fonctionné.

Résultat : à ce jour, un grand nombre d’affaires n’ont pas été détectées par les autorités françaises… Mais par des autorités étrangères.

Aux entreprises d’agir à l’international

Ce cas de figure fréquent, en plus d’alerter sur l’efficacité relative des mesures déployées, peut être lourd de conséquences pour les entreprises françaises. Lorsqu’une autorité étrangère détecte un cas de CAPE, il est en effet d’autant plus probable que cela donne lieu à des poursuites contre des sociétés qui, à l’international, doivent naviguer dans une multiplicité de législations locales et extraterritoriales.

Pour se protéger d’une telle éventualité, la compliance reste la principale arme des firmes françaises. Et un grand nombre d’entre elles semble en avoir pris conscience : on peut ainsi voir, derrière le récent classement EcoVadis qui place les entreprises françaises à la 3ème position mondiale en matière de responsabilité sociale et d’achats responsables, l’influence de la loi Sapin 2 et l’importance accordée aux due diligences d’intégrité avant de s’associer à un partenaire commercial tiers.

Là aussi, les progrès restent pourtant à relativiser. Fin 2020, un baromètre a révélé que les entreprises françaises peinent à développer une vision d’ensemble des risques à l’étranger : réglementations locales, coutumes et pratiques à risque, connaissance des partenaires locaux… Les entreprises ont, elles aussi, un long chemin à parcourir et de nombreux efforts à fournir.

Faciliter la détection et la sanction des infractions pour les services de l’Etat et mieux prendre en main les enjeux de conformité pour les entreprises : telles sont les deux conditions qui semblent aujourd’hui indispensables pour confirmer les progrès de la France dans la lutte contre la corruption internationale.

Brune Lange ; 20 janvier 2022

Partager sur print