Archives pour la catégorie LEGISLATEUR – REGULATEUR ET AMPLIFICATION DU RISQUE

CA BOUGE DU COTE DU CYBER-RISQUE (3) UN PROJET DE LOI PERMETTANT A L’ASSUREUR DE REMBOURSER LES CYBER-RANCONS

🏅Le cyber risque, risque n°1 pour les entreprises.

Un risque nouveau aux modalités multiples, un risque subjectif qui le rend difficile à appréhender et à gérer, un risque difficile (« illusoire ») à assurer, un risque amplifié par le régulateur-législateur

❓Evaluation du risque : une probabilité élevée (voir causes nombreuses) ; un impact fort (voir coût élevé)

 🚴 Comment agir ?

👉 Un projet de loi permettant le remboursement par l’assureur des cyber-rançons

Le post très pédagogique de Paul Berger de Gallardo, avocat, pour faire un point sur le projet de loi

Deux articles pour vous positionner. Et vous quel est votre avis sur ce projet de loi ? Une bonne solution pour les assureurs ? Une solution pour gérer le cyberrisque ?  

👉Les plans d’action préconisés par l’ANSII pour gérer le cyberrisque – dans 15 jours sur le blog

LE POST TRES PEDAGOGIQUE DE PAUL BERGER DE GALLARDO, AVOCAT, POUR FAIRE UN POINT SUR LE PROJET DE LOI.

🔐 Le remboursement par l’assureur des cyber-rançons conditionné à un dépôt de plainte ?

🚨 Un projet de loi prévoit d’encadrer les clauses de remboursement des rançongiciels par les #assurances, en rendant obligatoire le dépôt d’une plainte par la victime dans les 48h après le paiement de cette rançon.

🔹 Quoi ? Le rançongiciel ou ransomware est ainsi défini par l’ANSSI – Agence nationale de la sécurité des systèmes d’information : « envoi à la victime d’un logiciel malveillant qui chiffre l’ensemble de ses données et lui demande une rançon en échange du mot de passe de déchiffrement ».

🔸Pourquoi ? 20 % des entreprises françaises déclarent avoir subi au moins une attaque par rançongiciel au cours de l’année 2020, atteignant souvent l’activité économique et perturbant parfois la production.

🔕 L’absence fréquente de plainte des victimes, par crainte de reconnaître leur vulnérabilité et de ternir leur image, empêche toute investigation.

🔹Est-ce légal de payer une rançon, et d’être remboursé par son assurance ? Ainsi que l’a rappelé récemment le HCJP (Haut Comité Juridique de la Place Financière de Paris), le paiement d’une rançon par la victime d’une extorsion ne constitue ni un délit ni un acte de complicité dès lors que le consentement au paiement n’est pas libre mais résulte de la contrainte.

➡️ L’assurance du risque de rançongiciel ne paraît se heurter à aucun obstacle juridique majeur.

🔸 Quelles sont les solutions possibles ? L’étude d’impact du projet de loi a analysé trois solutions : 1️⃣ assujettir le remboursement d’une rançon versée par un assureur au dépôt de plainte 2️⃣ rendre obligatoire la déclaration à TRACFIN de tout paiement d’une rançon 3️⃣ promouvoir au niveau européen l’interdiction du paiement des rançons par les assureurs suite à une #cyber-attaque.

⁉️ Pourquoi retenir la première solution ? L’interdiction du paiement des rançons et de leur #assurance pèserait de manière démesurée sur les entreprises qui jouent parfois leur survie. Le dépôt d’une plainte rapide permettrait aux autorités compétentes de bénéficier des informations nécessaires à la poursuite des infractions et de « casser » le modèle de rentabilité des cyber‑attaquants.

🔹 Comment ? Par la création d’un article L. 12-10-1 du Code des assurances prévoyant cette condition de garantie au sein d’un nouveau chapitre « L’assurance des risques de cyber-attaques ».

🕰 La règle envisagée serait d’application immédiate et entrerait en vigueur également pour les contrats en cours.

⬇️ Que pensez-vous du paiement des cyber-rançons, de leur assurabilité et de ce projet de condition de garantie ? ⬇️

DEUX ARTICLES POUR VOUS POSITIONNER / ET VOUS QUEL EST VOTRE AVIS SUR CE PROJET DE LOI ? SOLUTION POUR GERER LE CYBERRISQUE ? 

Loi LOPMI : pour payer la rançon, il faudra déposer plainte

Sécurité : Le nouveau projet de loi d’orientation et de programmation encadre notamment la transition numérique des forces de l’ordre et propose un régime encadrant le paiement des rançons dans les affaires de rançongiciels.

Le projet égrène une douzaine de mesures, dont une partie concerne le développement des capacités des policiers et des gendarmes en matière de réponse aux crimes et délits en lien avec le numérique, ainsi que des dispositions visant à équiper les forces de l’ordre de nouveaux équipements.

Parmi les nouvelles dispositions, le gouvernement propose une première approche visant à encadrer le paiement des rançons suite à des attaques au ransomware. Comme le précise l’article 5 du projet de loi, le versement d’une rançon couverte par l’assureur de la société victime est possible si la victime accepte de déposer plainte dans les 48 heures après le paiement de la rançon.

Pas d’interdiction du paiement des rançons

Une manière de trancher le débat qui faisait rage depuis plusieurs mois autour du paiement des rançons exigées par les groupes de rançongiciels. Le directeur de l’Anssi avait allumé la mèche en fustigeant publiquement les « intermédiaires » qui acceptaient de payer les rançons, mais il avait également reconnu que cette possibilité devait rester ouverte dans certains cas. Depuis, les assureurs étaient nombreux à réclamer « une clarification » des règles sur le sujet, certains ayant choisi de cesser de proposer leurs assurances cyber prévoyant le paiement de rançons dans les affaires de ransomware.

En la matière, le gouvernement a donc choisi de s’aligner sur la proposition émise par le haut comité juridique de la place financière de Paris, qui avait été saisi du sujet et a publié un rapport à la fin du mois de janvier sur la question. Le haut comité recommandait de ne pas interdire purement et simplement le paiement des rançons, mais de conditionner celui-ci à un dépôt de plainte. Cette approche laisse donc une certaine marge de manœuvre aux victimes et à leurs assureurs, en leur permettant d’envisager le paiement d’une rançon pour espérer récupérer l’accès aux données. Et elle donne un coup de pouce aux forces de l’ordre qui ont du mal à convaincre les entreprises de déposer plainte après une attaque informatique.

Renforcer les forces de l’ordre sur le numérique

Outre cette disposition, le projet de loi prévoit également d’étendre les enquêtes sous pseudonyme, jusqu’alors réservées à certains délits concernant le trafic de drogues et d’armes, à l’ensemble des crimes et délits punis d’une peine d’emprisonnement. Le projet de loi prévoit également d’ouvrir aux forces de police la saisie « d’actifs numériques », terme utilisé pour décrire les cryptomonnaies et autres actifs basés sur une blockchain, aujourd’hui fréquemment utilisés dans le blanchiment d’argent et les affaires de rançongiciels.

Le texte reprend des mesures annoncées par le président de la République lors du discours de clôture du Beauvau de la sécurité, comme la place d’un « numéro 17 » dédié à la fraude informatique, la création de 1 500 postes de cyberpatrouilleurs et la création d’une agence du numérique des forces de sécurité, chargée de superviser l’équipement des policiers et gendarmes en smartphones et accessoires nécessaires aux enquêtes. Le montant prévu de ces différents investissements est estimé à 8 milliards d’euros.

Adopté en conseil des ministres, le texte doit maintenant être soumis au vote du parlement. Mais, calendrier oblige, celui-ci ne sera présenté qu’après l’élection présidentielle, donc pour la prochaine législature. Un timing relevé par le Conseil d’Etat dans son avis sur la loi, qui remarque le calendrier « pour le moins habituel » pour un projet de loi de ce type.

Par Louis Adam. Mars 2022

Cyberattaques : les assureurs rassurés sur la possibilité de couvrir les rançons

Un projet de loi prévoit qu’une entreprise victime d’une cyberattaque et contrainte de payer une rançon devra déposer plainte pour obtenir la prise en charge de ce paiement par son assureur. Une bonne nouvelle pour les représentants du secteur.

Les promesses ont mis du baume au coeur des syndicats de policiers mais aussi… des assureurs. Le plan de modernisation des moyens des forces de l’ordre , présenté par le gouvernement à la mi-mars, est en effet considéré par la profession comme une bonne nouvelle pour le développement dans l’Hexagone des assurances contre les cyberattaques.

Le projet de loi, dit LOPMI, prévoit notamment d’obliger les entreprises victimes d’un rançongiciel à porter plainte dans les 48 heures suivant le paiement d’une rançon pour obtenir sa prise en charge par l’assurance. Et ce, afin « d’améliorer l’information des forces de sécurité et de l’autorité judiciaire, et de ‘casser’ le modèle de rentabilité des cyberattaquants », note le projet.

Pas de changement sur le fond

« La France, comme les autres pays dans le monde, ne veut pas interdire l’incorporation de la garantie sur le paiement des rançons dans les contrats d’assurance cyber », a salué la semaine dernière, lors d’une conférence de presse, la présidente de la fédération France Assureurs, Florence Lustman, se félicitant d’une telle clarification.

La portée de cette disposition est à relativiser. Déposé à quelques semaines de l’élection présidentielle, le projet de loi n’est à ce stade pas à l’étude au Parlement et son avenir dépendra du résultat du scrutin. Par ailleurs, si la mesure était adoptée, elle ne changerait pas les habitudes. Elle « ne change rien sur le fond car les assureurs imposaient déjà un dépôt de plainte », explique Mickaël Robart, expert chez le courtier Diot-Siaci.

« Mais elle montre que le risque cyber est plutôt traité par les assureurs de façon responsable. » Ceux-ci veulent croire qu’avec ce projet de loi, il n’y a plus d’insécurité juridique : les services de l’Etat ont tranché, notamment Bercy qui a lancé l’été dernier des travaux sur la cyberassurance .

Autrement dit, ils n’iront pas dans le sens du patron de l’Agence nationale de la sécurité des systèmes d’information (ANSII) et de la vice-procureure en charge de la cybersécurité au parquet de Paris. Au printemps dernier, ces derniers avaient estimé que la prise en charge des rançons par l’assurance pouvait encourager la cybercriminalité.

Pas de changement chez AXA France

En octobre, un rapport parlementaire avait préconisé l’interdiction du paiement des rançons. Au contraire, en début d’année, des experts avaient mis en garde contre les effets d’une telle interdiction.

Signe que le sujet est sensible, Generali France a décidé en début d’année de tourner le dos au paiement des rançons. Quant à AXA France, qui avait décidé de suspendre sa garantie rançon l’an dernier, il n’a pas changé de politique avec la loi LOPMI, indique un porte-parole.

Solenn Poullennec. Avril 2022.

LE LEGISLATEUR-REGULATEUR, AMPLIFICATEUR DE RISQUE. DEUX NOUVELLES ILLUSTRATIONS ISSUES DE L’ACTUALITE. (2) LOI SAPIN II – L’OCDE POINTE LES PROGRES DE LA FRANCE MAIS SOULIGNE LE CHEMIN LUI RESTANT A PARCOURIR POUR PROTEGER LES ENTREPRISES –

RAPPEL LOI SAPIN II

La loi Sapin II vise à prévenir les risques de blanchiment des capitaux, de financement du terrorisme et de la corruption – la corruption est le fait pour toute personne de solliciter une personne dépositaire de l’autorité publique, moyennant rémunération, un acte relevant de ses fonctions –. Elle propose six mesures pour cartographier le risque de corruption et le prévenir au niveau organisationnel et individuel. Cette loi n’oblige pas à une communication extérieure spécifique mais elle engage la responsabilité personnelle des dirigeants et celle de la société en tant que personne morale.

Nicolas Dufour et moi-même présentons davantage la loi Sapin II ainsi que les réglementations en vigueur et la soft-law (principe de précaution) dans notre ouvrage ; voir « La Fonction Risk Manager. Organisation. Méthodes et Positionnement », Ed Gereso, p.50. 

https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

LIRE OU RELIRE

Vous pouvez également lire ou relire d’autres articles sur ce sujet sur le blog dans les rubriques corruption et/ou Loi Sapin II ou en recherchant par mots clés ou dans les archives mensuelles par date.

Par exemple, un article présentant les principaux résultats de l’enquête de l’Agence Française Anticorruption avec un lien pour y accéder, un article sur la cartographie des risques de corruption, un article intitulé « Trois ans après, où en sont les entreprises ? »

RISQUE DE CORRUPTION : LES PROGRES. LE CHEMIN A PARCOURIR

Cinq ans après la naissance de la loi Sapin 2, le cabinet de Bruno Le Maire donne son feu vert à ce qui ressemble à une nouvelle loi « Sapin 3 ». La loi Sapin 2 a marqué un véritable tournant dans la lutte contre la corruption en France en introduisant des changements importants dans la loi, en créant l’Agence française de lutte contre la corruption, et en ajoutant une dimension préventive qui n’existait pas ailleurs : l’obligation pour certaines entreprises privées de mettre en place des mesures anti-corruption.

Dans leur rapport rendu le 7 juillet 2021, les députés Raphaël Gauvain et Olivier Marleix, corapporteurs de la Commission des lois de l’Assemblée nationale chargée de l’évaluation de la loi Sapin 2, dressent un bilan positif de la loi Sapin II, mais notent que la France n’a pas progressé dans les indices internationaux de perception de la corruption depuis 2015. Ils ont relevé qu’en 2020, la France était classée 23e sur l’IPC de Transparency International, au même niveau qu’en 2015.

Je vous propose ci-dessous un article très complet qui fait le point sur les progrès accomplis et le chemin qui reste à parcourir avant d’aborder dans un prochain article ce que l’on sait de la loi Sapin III.

Risque de corruption : l’OCDE pointe les progrès de la France mais souligne le chemin lui restant à parcourir pour protéger les entreprises

Des progrès sont avérés mais la France doit encore intensifier ses efforts.

Le Groupe de travail sur la corruption, qui regroupe 44 pays de l’OCDE, a publié fin 2021 un rapport évaluant les progrès effectués depuis 2012 par la France dans la mise en œuvre de l’infraction de Corruption d’Agent Public Etranger (CAPE).

Les progrès réels de la lutte anticorruption

Le verdict est globalement positif : en quelques années, la France est devenue un interlocuteur « crédible » en matière de lutte contre la CAPE, et ce grâce à une restructuration profonde de son cadre législatif anti-corruption.

Plusieurs réformes sont à l’origine de ces progrès. D’abord, la création en 2013 du PNF (Parquet National Financier) et d’un service de police judiciaire dédié à la criminalité financière (OCLCIFF) ont permis d’augmenter le nombre de sanctions pénales pour corruption.

Ensuite, la loi Sapin 2, qui a permis d’introduire dans le droit français une obligation de conformité pour les entreprises. Ces mesures préventives, alliées à l’introduction de la justice négociée par CJIP (Convention Judiciaire d’Intérêt Public) ont radicalement transformé la responsabilité des personnes morales. Désormais, les entreprises sont intégrées à la stratégie de lutte anticorruption, puisqu’elles sont tenues – en amont – de prévenir les cas potentiels et – en aval – de prendre des mesures correctives et de coopérer avec les autorités.

Depuis 2012, 14 affaires de CAPE ont été résolues, aboutissant à la sanction de 19 personnes physiques et 23 personnes morales. Parmi ces affaires, 5 ont été résolues hors procès, grâce à une CJIP. Au demeurant, ces poursuites ont ciblé des acteurs économiques de grande envergure comme entre autres Airbus, Bolloré SE ou Systra.

Selon le rapport, il s’agit d’un véritable progrès si l’on compare à la période pré-2012, au cours de laquelle seules 3 condamnations de personnes physiques (et aucune personne morale) avaient eu lieu, pour des affaires d’envergure mineure. Cependant, même si ces résultats sont encourageants, le rapport met aussi en lumière un certain nombre de vulnérabilités du modèle français.

Des acquis fragiles, à consolider d’urgence

Même si le nombre d’enquêtes ouvertes pour CAPE a été multiplié par 3,5 depuis 2012, seulement 13% d’entre elles ont donné lieu à des condamnations ou à un règlement par CJIP. Cette proportion est très faible par rapport aux économies européennes comparables, pour lesquelles 39% des enquêtes donnent lieu à une condamnation. Par ailleurs, un nombre important d’allégations n’ont donné lieu à aucune enquête.

Selon le rapport, cette insuffisance n’est pas liée à une absence de volonté politique, mais au manque de ressources affectées à l’ensemble des maillons de la chaîne pénale. L’augmentation de ces moyens est donc une condition sine qua non à l’efficacité de la lutte anticorruption en France.

Le Groupe estime aussi que les avancées de la France sont fragilisées par certaines réformes récentes ou en cours. En 2021, par exemple, la durée d’enquête préliminaire a été limitée à trois ans : le rapport recommande d’allonger cette durée, afin de s’assurer de disposer de tous les éléments nécessaires à une sanction rapide et efficace

Autre hic : la possible refonte de l’AFA et de ses missions, envisagée par la proposition de loi déposée fin 2021 par le député Raphaël Gauvain, suscite des inquiétudes quant à la poursuite du travail d’accompagnement et de contrôle des entreprises. Le Groupe recommande donc de tout faire pour préserver les missions et les moyens alloués à l’AFA.

Le reste des recommandations concerne surtout la poursuite des avancées entamées : préserver le rôle d’enquête du PNF (ciblé par des critiques après la condamnation de Nicolas Sarkozy), poursuivre les efforts afin de développer une justice négociée efficace grâce aux CJIP, et continuer à améliorer la coordination entre les différents services pour l’émergence d’une justice mieux coordonnée.

La France ne doit donc pas relâcher ses efforts, et cela semble en bonne voie à ce jour : parmi les chantiers actuels, on peut citer la loi pour la confiance dans l’institution judiciaire visant à renforcer l’indépendance du parquet (adoptée fin 2021), ou encore la transposition (en cours) de la dispositive européenne sur les lanceurs d’alerte. Fin 2023, la France présentera à l’OCDE un rapport détaillant les mesures prises pour mettre en œuvre ces recommandations.

Cas détectés : la partie émergée de l’iceberg ?

Plus globalement le rapport estime que le nombre de cas détectés est probablement dérisoire par rapport au profil économique de la France et au nombre d’allégations de corruption dans les médias.  En tant qu’acteur majeur dans l’économie mondiale, la France est en effet très présente dans des juridictions à haut risque comme l’Asie ou l’Afrique, et les entreprises françaises s’exposent dans des domaines risqués : aéronautique et spatial, production d’énergie nucléaire, industries manufacturières et extractives, armement, construction…

L’une des priorités, selon le rapport, doit donc être l’amélioration de la détection. La France a déjà pris certaines mesures afin d’améliorer la coordination entre ses services : par exemple en 2020, la circulaire Belloubet a enjoint les intervenants à « exploiter l’ensemble des canaux de signalement existants ». Mais ces canaux, comme les postes diplomatiques ou les lanceurs d’alertes, ont été très peu utilisés ; la grande majorité des affaires poursuivies étant toujours détectées par Tracfin, la cellule de renseignement française anti-blanchiment, on peut dire que la diversification des sources d’alerte n’a pas fonctionné.

Résultat : à ce jour, un grand nombre d’affaires n’ont pas été détectées par les autorités françaises… Mais par des autorités étrangères.

Aux entreprises d’agir à l’international

Ce cas de figure fréquent, en plus d’alerter sur l’efficacité relative des mesures déployées, peut être lourd de conséquences pour les entreprises françaises. Lorsqu’une autorité étrangère détecte un cas de CAPE, il est en effet d’autant plus probable que cela donne lieu à des poursuites contre des sociétés qui, à l’international, doivent naviguer dans une multiplicité de législations locales et extraterritoriales.

Pour se protéger d’une telle éventualité, la compliance reste la principale arme des firmes françaises. Et un grand nombre d’entre elles semble en avoir pris conscience : on peut ainsi voir, derrière le récent classement EcoVadis qui place les entreprises françaises à la 3ème position mondiale en matière de responsabilité sociale et d’achats responsables, l’influence de la loi Sapin 2 et l’importance accordée aux due diligences d’intégrité avant de s’associer à un partenaire commercial tiers.

Là  aussi, les progrès restent pourtant à relativiser. Fin 2020, un baromètre a révélé que les entreprises françaises peinent à développer une vision d’ensemble des risques à l’étranger : réglementations locales, coutumes et pratiques à risque, connaissance des partenaires locaux… Les entreprises ont, elles aussi, un long chemin à parcourir et de nombreux efforts à fournir.

Faciliter la détection et la sanction des infractions pour les services de l’Etat et mieux prendre en main les enjeux de conformité pour les entreprises : telles sont les deux conditions qui semblent aujourd’hui indispensables pour confirmer les progrès de la France dans la lutte contre la corruption internationale.

Brune Lange ; 20 janvier 2022

Partager sur print

Sources

SKAN1 Outlook : Loi Sapin 2 : succès et évolutions du modèle anticorruption français

Dalloz Actualités : Durée maximale des enquêtes préliminaires : de la lenteur à l’arrêt ?

SKAN1 Outlook : En route vers une loi « Sapin 3 » ? Retour sur le projet déposé par le député Raphaël Gauvain pour renforcer la lutte anticorruption

France Inter : Le Parquet national financier sous le feu des critiques

SKAN1 Outlook : Une nouvelle enquête du PNF sur Thales ravive le débat sur les lanceurs d’alerte

  • Justice négociée par CJIP

SKAN1 Outlook : La CJIP de l’affaire AIRBUS

SKAN1 Outlook : La CJIP Systra pour corruption en Asie Centrale

  • Entreprises françaises à l’international

SKAN1 Outlook : Extraterritorialité : année record du FCPA, enjeu prioritaire pour les autres acteurs

Ministère de l’Economie : palmarès Ecovadis des performances RSE

SKAN1 Outlook : Entreprises françaises : un bilan mitigé pour les dispositifs de conformité Sapin 2

LE RISQUE, VARIABLE STRATEGIQUE DE LA REFLEXION DES ENTREPRISES (4). DUE DILIGENCES : LE CAS DES INTERMEDIAIRES

Dernier ou avant-dernier partage avant Noël. Je vous souhaite à tous de bonnes fêtes. Et je joins le visuel « clin d’oeil » de l’an dernier pour profiter des vacances pour partager, lire toujours et encore…

Comment le risque est devenu une variable stratégique. Deux facteurs explicatifs sont l’élargissement du domaine du risque et son amplification depuis 2004 par le régulateur-législateur.

  1. Les due diligences sont un de ces nouveaux risques que je vous présente depuis plusieurs semaines. L’article que je vous propose cette semaine vous le présente en trois étapes de la démarche de gestion des risques : identification ; évaluation et cartographie ; mise en oeuvre de plans d’actions ; diffusion des résultats au sein de l’organisation pour que se développe une culture du risque. 
  2. Ce nouveau risque entre dans le champ de l’amplification sociale du risque.  Comme le suggère le concept d’amplification sociale du risque, les risques sont amplifiés et instrumentalisés par des institutions telles que le régulateur-législateur et les médias (Pidgeon et al, 2003). Le rôle du régulateur-législateur a commencé en France avec la Loi de Sécurité Financière. Sur fond de scandales et de crise, les interventions du régulateur-législateur  ont amèné les entreprises à renforcer les systèmes de contrôle interne et de gestion des risques : loi du 3 juillet 2008, ordonnance du 8 décembre 2008 ; rapport du 8 décembre 2009de l’AMF ; loi Sapin II du 9 décembre 2016

RAPPEL LOI SAPIN II

La loi Sapin II vise à prévenir les risques de blanchiment des capitaux, de financement du terrorisme et de la corruption – la corruption est le fait pour toute personne de solliciter une personne dépositaire de l’autorité publique, moyennant rémunération, un acte relevant de ses fonctions Elle propose six mesures pour cartographier le risque de corruption et le prévenir au niveau organisationnel et individuel. Cette loi n’oblige pas à une communication extérieure spécifique mais elle engage la responsabilité personnelle des dirigeants et celle de la société en tant que personne morale.

Nicolas Dufour et moi-même présentons davantage la loi Sapin II ainsi que les réglementations en vigueur et la soft-law (principe de précaution) dans notre ouvrage ; voir « La Fonction Risk Manager. Organisation. Méthodes et Positionnement », Ed Gereso, p.50. 

https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

LIRE OU RELIRE

Vous pouvez également lire ou relire d’autres articles sur ce sujet sur le blog dans les rubriques corruption et/ou Loi Sapin II ou en recherchant par mots clés ou dans les archives mensuelles par date. .

Due diligences : le cas des intermédiaires

Obligation légale en vertu de la loi Sapin II, les due diligences apparaissent comme l’un des piliers principaux de tout programme de conformité robuste, que celui-ci soit dédié à l’anticorruption ou à d’autres enjeux ESG. Parmi les tiers à évaluer – clients, fournisseurs et intermédiaires – ces derniers demeurent les plus à risque. Comment les définir ? Comment les évaluer ? Quelles mesures de remédiation adopter pour continuer de nouer des relations contractuelles avec eux ? C’était l’objet de notre dernier atelier pratique !

L’intermédiaire, un (in)dispensable ?

Le recours à des intermédiaires pour faciliter, mener à leur terme ou sécuriser des relations commerciales est une pratique courante du commerce international et du marché à l’export. Cet usage, légal, s’avère néanmoins porteur de risques juridiques, financiers et réputationels conséquents eu égard aux réglementations anticorruptions. Un grand groupe européen du secteur de l’aéronautique en a récemment fait les frais en étant condamné au paiement d’une amende de plusieurs milliards d’euros pour des allégations de corruption via des réseaux d’« agents » – l’autre dénomination des intermédiaires.

Si l’emploi de ce type de tiers reste autorisé, de nombreuses entreprises souhaitent désormais le limiter au maximum. Certaines d’entre elles assument même de ne plus y avoir recours du tout, quitte à se fermer certains marchés.

Reste que pour certains marchés, le concours d’agents continue d’apparaitre comme indispensable pour de nombreuses équipes commerciales. « C’est un enjeu culturel » affirme l’un des experts qui s’est exprimé lors de notre dernier atelier pratique, « mais il est maintenant fondamental de remettre en cause ces pratiques et de s’interroger systématiquement sur l’opportunité réelle de recourir à ce type de tiers ». S’il convient alors de restreindre l’usage d’intermédiaires aux situations de nécessité, ce délaissement progressif doit néanmoins s’accompagner d’un « développement des capacités d’intelligence stratégique et économique au sein même des entreprises ou dans leur environnement proche » avance un autre participant.

Évaluer et remédier

Lorsque l’entreprise juge nécessaire de recourir à un intermédiaire, elle se trouve alors dans l’obligation de conduire une due diligence à son égard, c’est-à-dire une évaluation préalable de sa maturité vis-à-vis de la prévention de la corruption. Pour cela, encore faut-il que tout le monde s’accorde sur ce que recouvre la notion d’intermédiaire. Bien qu’elle puisse varier significativement en fonction des sociétés considérées, tous les experts interrogés s’accordent sur le fait que la qualité d’intermédiaire ne dépend pas des appellations que peuvent en donner les opérationnels : consultants, agents commerciaux, prestataires de services, voire traders, lobbyistes, avocats ?

Aussi pour faciliter le travail des équipes E&C, il peut être judicieux de recenser et de cartographier le type d’intermédiaires couramment utilisés dans l’entreprise, d’en dresser une typologie et de définir pour chacun d’entre eux les rôles et responsabilités à priori attendus. Cet exercice facilitera ensuite grandement le travail du compliance officer lors du suivi de la relation ou de prochaines relations contractuelles.

En fonction de la taille et de l’organisation des entreprises, le process de due diligence en tant que tel est soit centralisé, soit délégué aux compliance officers locaux. L’évaluation s’effectue grâce à des outils informatiques et des bases de données bien connues des professionnels du domaine, soit en externe grâce à des prestataires de service spécialisés. Les solutions disponibles – et par conséquent les due diligence réalisées – sont donc assez similaires entre les différentes entreprises.

En revanche, la façon de traiter les résultats délicats diffèrent. Selon la criticité du risque, les mesures de remédiation varient et vont de l’inscription de clauses anti-corruption spécifiques, à l’audit sur pièce voire sur site, jusqu’au refus pur et simple de nouer une relation contractuelle, même si cela peut signifier le retrait pur et simple d’un marché potentiel.

Une culture de la due diligence

Pour renforcer la robustesse du dispositif de due diligence, tout en favorisant une culture de compliance au sein de l’entreprise, de nombreuses directions E&C délèguent en partie le process de due diligence aux équipes locales et aux opérationnels en charge de la relation avec l’intermédiaire. Ainsi il peut être demandé aux équipes commerciales de réaliser une due diligence de premier niveau, superficielle mais suffisante pour écarter les intermédiaires les plus à risques.

Ce transfert de responsabilité partiel participe à la sensibilisation des opérateurs et à l’intégration des contraintes légales au plus près de l’activité. Cette acculturation doit en outre permettre une meilleure compréhension de la part de ces derniers des contraintes de temps et de budget attachées à la réalisation de due diligences robustes.

Pour ce faire, les équipes opérationnelles doivent être formés aux enjeux de l’anticorruption et à l’utilisation des outils informatiques de screening. A ces actions de sensibilisation, peuvent s’adjoindre, le cas échéant, des mesures de sanction (blâmes, avertissements, assortis généralement de sessions de formation dédiées) en cas de non-respect de l’obligation de due diligence précontractuelle.

Récemment, une juridiction est même aller jusqu’à considérer que le licenciement d’un directeur commercial qui ne s’inquiétait pas de la due diligence anti-corruption devant être réalisée avant la signature d’un contrat reposait bien sur une cause réelle et sérieuse[1]. Un argument massue qui devrait permettre aux compliance officers de rappeler à ceux qui l’oublieront, que les due diligences sont belles et bien devenues des prérequis indispensables à toute relation contractuelle avec un intermédiaire… A bon entendeur !

[1] https://www.doctrine.fr/d/CA/Angers/2021/C65C9311DC30A792F5983

Mai 2021

Risque de corruption

Cartographie du risque de corruption : 10 erreurs à éviter. Actualités : arrêt de la Cour d’appel / extension de la loi Sapin II ?

LIRE ou RELIRE sur le Blog

Dans les rubriques corruption et/ou Loi Sapin II ou en recherchant par mots clés ou dans les archives mensuelles par date, vous pourrez lire ou relire les articles suivants.

En juillet 2020, un article sur la cartographie des risques de corruption.

En février 2020, les principaux résultats de l’enquête sur le niveau de maturité des dispositions anticorruption en entreprise réalisée par l’Autorité Française Anticorruption (AFA) lançait.

En octobre 2020, un article intitulé « Trois ans après, où en sont les entreprises ? » 

Mardi mai 2021 : Bolloré, affaire en cours / le rapport d’activité de l’AFA 2000.

Loi Sapin II et rôle du régulateur comme amplificateur de risques dans La Fonction Risk Manager. Organisation. Méthodes et Positionnement.
https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html
Aujourd’hui, je vous propose deux documents :
  • 10 erreurs à éviter pour vos cartographies de risques / article qui fait suite à celui sur les cartographies
  • un arrêt d’appel à suivre : « extension » de la Loi Sapin II ?

10 erreurs à éviter dans la cartographie de vos risques de corruption

Le challenge consiste à construire une démarche à la fois efficace et conforme aux exigences légales et aux recommandations du régulateur (« si si… c’est possible… »). Vous ne souhaitez bien évidemment pas que s’applique à vous le constat que formulait l’Agence Française Anticorruption dans son dernier rapport annuel : « d’autres mesures, comme la cartographie des risques de corruption ou l’évaluation des tiers, pourtant déterminantes pour la robustesse du dispositif anticorruption, pâtissent encore trop souvent d’approximations méthodologiques ».

Forts des quelques dizaines de cartographies des risques de corruption réalisées ou auditées, nous nous proposons de partager avec vous notre liste non-exhaustive de 10 de ces erreurs ou « approximations méthodologiques » :

  1. Couverture partielle des activités de l’entreprise : la cartographie doit être réalisée aux bornes du groupe, sur l’ensemble de ses activités, en prenant en compte les zones géographiques d’implantation.
  2. Inventaire de risques trop globaux : les risques doivent prendre la forme de scénarios précis et adaptés aux spécificités de l’entreprise. Le « risque de corruption active » peut au mieux être considéré comme une catégorie ou une typologie de risque mais pas comme un risque élémentaire.
  3. Inventaire des risques trop génériques : il est bien sûr tentant de s’appuyer sur des catalogues de risques standards trouvés sur internet ou dans certains forums professionnels. Ces catalogues peuvent aider et guider dans l’identification des risques, cependant la démarche ne saurait se résumer à une sélection « tick in the box », au risque de rater l’exception, le risque spécifique qui est souvent le plus redoutable car méconnu du plus grand nombre.
  4. Méthodologie d’évaluation des risques inadaptée : le risque de corruption présente un certain nombre de spécificités qui doivent être capturées dans la méthodologie mise en œuvre et notamment les facteurs aggravants (géographie, secteur d’activité, tiers, etc.), les méthodes se limitant à une cotation globale probabilité / impact ne permettent pas d’appréhender de manière pertinente ce risque.
  5. Implication insuffisante du top management : que ce soit pour la validation de la méthodologie à mettre en œuvre, des personnes à impliquer, du niveau de risque acceptable, de la cartographie ou des plans d’actions associés, son implication est clé et renvoie à l’engagement de l’instance dirigeante.
  6. Démarche mise en œuvre en chambre par le compliance officer assisté d’un ou deux autres experts (risk manager, contrôleur interne, consultant…) : leurs points de vue sont bien sûr utiles et nécessaires, mais seuls les acteurs opérationnels peuvent avoir une vision précise et concrète des zones d’exposition de l’entreprise.
  7. Démarche déployée de manière hétérogène dans les entités du groupe : la difficulté d’une approche déployée aux bornes du groupe réside dans la mobilisation d’un grand nombre d’acteurs dont les compétences, l’expérience et la culture sont hétérogènes, ce qui peut facilement conduire à une cartographie également hétérogène.
  8. Manque de traçabilité des travaux : toutes les étapes de la démarche doivent être matérialisées et documentées. La démarche doit être efficace, conforme et auditable.
  9. Une approche en silo par rapport aux autres piliers de la loi Sapin 2 : la cartographie est un élément central doit  alimenter les autres piliers et également être nourrie par ces derniers au travers, par exemple, des résultats des contrôles, des résultats du dispositif d’alerte, des évaluations de tiers, etc.
  10. Une approche limitée à la réalisation d’une « photo » : la cartographie ne saurait être un objectif final, ce n’est qu’un outil au service du management des risques ainsi identifiés. Elle doit conduire à l’action, à la recherche de mesures correctives pour prévenir et / ou maîtriser les risques en question.

Une « extension » de la Loi Sapin II avec un arrêt d’appel à suivre

Arrêt (d’appel) intéressant et un peu inquiétant qui valide une sanction que même la loi #sapin2 n’a pas envisagé : une sanction disciplinaire non pas pour corruption mais pour ne pas avoir effectué l’évaluation d’un tiers à risque… Cela va aider les #complianceofficer à déployer ce pilier !

La Cour d’Appel d’Angers juge que le licenciement du Directeur Commercial qui ne s’inquiète pas de la due diligence devant être réalisée avant la signature d’un contrat repose sur une cause réelle et sérieuse (11 Mars 2021 – n° 19/00128).

Le Directeur Commercial d’une entreprise organise un rendez-vous de signature d’un contrat commercial international avec un distributeur basé aux Emirats Arabes Unis, alors que les vérifications et validations, notamment anticorruption, n’avaient pas été effectuées.

La Cour juge qu’il s’agit d’une faute de nature à conférer une cause réelle et sérieuse au licenciement compte-tenu du niveau de responsabilité du Directeur Commercial et de la nature particulière de l’activité de l’entreprise.

Il ne s’agit toutefois pas d’une faute grave en l’absence de mauvaise foi, de déloyauté ainsi qu’en l’absence de danger grave et immédiat pour l’entreprise.


RISQUE DE corruption. Loi SAPIN II. LIRE ou RELIRE sur le Blog. SANCTIONS. RAPPORT ANNUEL de l’AUTORITE FRANCAISE ANTICORRUPTION (AFA).

Comme le suggère le concept d’amplification sociale du risque, les risques sont amplifiés et instrumentalisés par des institutions telles que le régulateur-législateur et les médias (Pidgeon et al, 2003).

Le rôle du régulateur-législateur a commencé en France avec la Loi de Sécurité Financière. Sur fond de scandales et de crise, les interventions du régulateur-législateur  ont amèné les entreprises à renforcer les systèmes de contrôle interne et de gestion des risques : loi du 3 juillet 2008, ordonnance du 8 décembre 2008 ; rapport du 8 décembre 2009de l’AMF ; loi Sapin II du 9 décembre 2016

RAPPEL LOI SAPIN

La loi Sapin IIvise à prévenir les risques de blanchiment des capitaux, de financement du terrorisme et de la corruption – la corruption est le fait pour toute personne de solliciter une personne dépositaire de l’autorité publique, moyennant rémunération, un acte relevant de ses fonctions -.

Elle propose six mesures pour cartographier le risque de corruption et le prévenir au niveau organisationnel et individuel. Cette loi n’oblige pas à une communication extérieure spécifique mais elle engage la responsabilité personnelle des dirigeants et celle de la société en tant que personne morale.

Nicolas Dufour et moi-même présentons davantage la loi Sapin II ainsi que les réglementations en vigueur et la soft-law (principe de précaution) dans notre ouvrage ; voir « La Fonction Risk Manager. Organisation. Méthodes et Positionnement », Ed Gereso, p.50. https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

LIRE ou RELIRE sur le Blog

Dans les rubriques corruption et/ou Loi Sapin II ou en recherchant par mots clés ou dans les archives mensuelles par date, vous pourrez lire ou relire les articles suivants.

En juillet 2020, un article sur la cartographie des risques de corruption.

En février 2020, les principaux résultats de l’enquête sur le niveau de maturité des dispositions anticorruption en entreprise réalisée par l’Autorité Française Anticorruption (AFA) lançait.

En octobre 2020, un article intitulé « Trois ans après, où en sont les entreprises ? » 

Aujourd’hui, je vous propose de compléter cet état des lieux par un nouvel exemple de Corruption – les affaires sont toujours là et les sanctions arrivent – et la lecture du rapport d’activité de l’AFA 2000 – le régulateur également -.

Mardi prochain, sur ce même sujet nous parlerons cartographies des risques de corruption avec les erreurs à éviter et « extension » de la Loi Sapin II avec un arrêt d’appel à suivre.

Corruption au Togo : le groupe Bolloré va s’acquitter d’une amende de 12 millions d’euros

Le tribunal judiciaire de Paris a homologué vendredi une convention judiciaire d’intérêt public négociée entre le groupe et le Parquet national Financier. La holding a reconnu lors de l’audience des faits de corruption et d’abus de confiance afin de décrocher la gestion du port de Lomé, au Togo.

Le groupe dirigé par Vincent Bolloré va s’acquitter d’une amende de 12 millions d’euros. (RIC PIERMONT/AFP)

Plus de dix millions d’euros d’amende et un suivi serré de l’agence française anticorruption pendant deux ans : le tribunal judiciaire de Paris a validé, vendredi, la convention judiciaire d’intérêt public (CJIP) négociée par le Parquet national Financier (PNF) et le groupe Bolloré. Ce dernier était mis en cause pour des faits de corruption et d’abus de confiance, commis entre 2009 et 2011 au Togo.

Dans le détail, la holding du groupe aux quatre pôles (communication, mobilité électrique et stockage d’énergie, transports et logistiques, participations financières) va s’acquitter d’une amende de 12 millions d’euros à verser « au Trésor public sous dix jours », indique le PNF dans un communiqué.

Bolloré SE doit également provisionner 4 millions d’euros afin d’assumer le coût d’un programme de mise en conformité aux règles de l’agence française anticorruption, qui va durer deux ans. « Conformément à la loi, il appartient à Financière de l’Odet SE [la société présidée par Vincent Bolloré qui détient 64 % du groupe, NDLR] et Bolloré SE de décider dans un délai de 10 jours si cet accord devient définitif », a réagi le groupe dans un communiqué.

Ces deux conditions, si elles sont respectées, marqueront la fin des poursuites : la CJIP, instaurée par la loi Sapin 2, est une procédure qui permet à une personne morale d’éviter la tenue d’un procès en négociant une sanction financière.

Risque

Le groupe s’exonère donc d’un risque non négligeable : plusieurs pays interdisent aux entreprises condamnées pour corruption de candidater pour leurs marchés publics, ce qui aurait pu être très préjudiciable à la branche logistique, qui exploite plusieurs concessions portuaires en Afrique.

Cette CJIP intervient après l’ouverture d’une information judiciaire, ouverte en 2013 pour des faits de « corruption d’agent public étranger, abus de confiance et complicité d’abus de confiance ». La holding avait été mise en examen pour avoir fourni, en partie gracieusement, les services de la branche communication de Havas afin de décrocher la gestion des ports de Lomé, au Togo, et de Conakry, en Guinée. La mise en examen concernant la Guinée a été annulée pour cause de prescription.

Le tribunal judiciaire de Paris a, par ailleurs, refusé de valider la comparution sur reconnaissance préalable de culpabilité négociée par Vincent Bolloré et le PNF, pour ces mêmes faits. La juge a estimé « nécessaire » la tenue d’un procès pour l’homme d’affaires.

Basile Dekonink. Publié le 26 févr. 2021.

Rapport d’activité de l’AFA 2020

« L’année 2020 a été marquée, en son début, par le lancement du premier plan national pluriannuel de lutte contre la corruption, qui traduit l’engagement gouvernemental à agir contre la corruption, aussi bien par la prévention que la poursuite et la sanction.

L’ensemble des activités de l’AFA a été affecté  par le contexte sanitaire, qui l’a amenée à adapter ses méthodes de travail et à aménager ses actions de contrôle, tenant compte des répercussions de la crise sur les acteurs concernés.

Les activités de conseil se sont poursuivies à distance, par audio ou visioconférence. L’année 2020 a été plus particulièrement celle de la révision des recommandations de l’AFA, à destination de tous les acteurs publics et économiques. Les nouvelles recommandations, publiées au Journal officiel le 12 janvier 2021 bénéficient ainsi des enseignements de plus de trois années de conseil et de contrôle et précisent le contenu du référentiel anticorruption français.

Les activités de contrôle ont pour leur part évolué, afin d’appréhender des risques plus conjoncturels ou plus sectoriels que ne l’avaient permis les contrôles menés jusqu’alors. Une telle évolution est apparue nécessaire notamment dans la perspective de grands évènements sportifs auxquels l’AFA est associée, s’agissant du contrôle des dispositifs de prévention de la corruption mis en œuvre par les personnes morales chargées de leur organisation, de leur déroulement ou de la reconfiguration des sites.

Quant à l’activité internationale, elle est restée dense et s’est particulièrement illustrée par la publication d’un rapport d’analyse de la cartographie mondiale des autorités anticorruption, rassemblant 171 autorités de 114 pays, mené sous l’égide du réseau des autorités nationales de lutte contre la corruption, que l’AFA a présidé jusqu’à la fin de l’année. »

Consulter et télécharger le rapport d’activité 2020

RGPD. BEST-PRACTICES ET PLANS D’ACTIONS

Le mois de janvier est consacré au RGDP, que j’appelle dans mes travaux un amplificateur de risques (p.47, chapitre 1) / https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html
Après le rappel du contexte réglementaire, les 1eréléments de bilan 2020 et les sanctions (Carrefour et Carrefour Banque, Google, H&M) je vous propose, à partir d’éléments communiqués par l’entreprise toulousaine I-Trust (Editeur de solutions de Cybersécurité), une synthèse de best practices issues des règles de l’ANSSI et des recommandations de la CNIL. Autant de best pratices à suivre et de plans d’actions à mettre en œuvre.

Les règles de conformité RGPD imposent aux entreprises de se sécuriser selon les meilleures pratiques issues des :

Les règles d’hygiènes et bonnes pratiques de l’ANSSI

# 4 : Identifier les informations et serveurs les plus sensibles et maintenir un schéma du réseau.

Maintenir la cartographie du SI et des informations sensibles via les tags RGPD.

# 5 : Disposer d’un inventaire des comptes privilégiés et les maintenir à jour.

Identifier les comptes privilégiés et de vérifier en continu leur mise à jour. 

# 7 : Autoriser la connexion au réseau de l’entité aux seuls équipements maîtrisés.

Détecter la connexion d’appareils étrangers au SI.

#8 : Identifier nommément chaque personne accédant au système et distinguer les rôles utilisateur/administrateur. Journalisation activée.

Détecter les comportements malveillants sur les opérations de comptes et les partages réseaux. 

Détecter les bruits de force de compte. 

# 10 : Définir et vérifier des règles de choix et de dimensionnement des mots de passe.

Détecter des mots de passe triviaux actifs sur le réseau.

# 12 : Changer les éléments d’authentification par défaut sur les équipements et services.

Détecter les mots de passe par défaut sur les équipements et services.

# 14 : Mettre en place un niveau de sécurité minimal sur l’ensemble du parc informatique. Cette règle concerne essentiellement des points de configuration (chiffrement disque, désactivation autorun, etc.).

# 18 : Chiffrer les données sensibles transmises par voie Internet.

Détecter la présence de services d’échange ou d’interface de connexion non sécurisés.

# 20 : S’assurer de la sécurité des réseaux d’accès Wi-Fi et de la séparation des usages.

Scanner la sécurité des équipements impliqués dans le WiFi (bornes, routeur, etc.)

#21 : Utiliser des protocoles réseaux sécurisés dès qu’ils existent.

Détecter les services en écoute qui ne garantissent pas la sécurité des transmissions.

# 22 : Mettre en place une passerelle d’accès sécurisé à Internet.

Scanner la sécurité de cette passerelle.

#34 : Définir une politique de mise à jour des composants du système d’information.

Détecter les problèmes d’obsolescence des composants.

#36 : Activer et configurer les journaux des composants les plus importants.

Effectuer une étude contextuelle du SI. Journaliser les éléments suivants : > pare-feu : paquets bloqués ; > systèmes et applications : authentifications et autorisations (échecs et succès), arrêts inopinés ; > services : erreurs de protocoles (par exemples les erreurs 403, 404 et 500 pour les services HTTP), traçabilité des flux applicatifs aux interconnexions (URL sur un relai HTTP, en-têtes des messages sur un relai SMTP, etc.). Pour se faire un centre opérationnel de sécurité doit être installé. 

#38 : Procéder à des contrôles et audits de sécurité régulier puis appliquer les actions correctives associées.

Auditer le réseau en continu et éliminer les vulnérabilités évidentes pour que les auditeurs puissent se concentrer sur les failles cachées.

Procéder à des contrôles et audits de sécurité réguliers pour appliquer les actions correctives associées. 

# 40 : Définir une procédure de gestion des incidents.

Surveiller en continu toute intrusion ou malveillance présente sur le SI.

# 42 : Privilégier l’usage de produits et de services qualifiés par l’ANSSI.

Obtenir la certification CSPN.

Les règles de la CNIL. Les fiches CNIL sur la sécurité des données personnelles. 

#Fiche 1 : Sensibiliser les utilisateurs

Formation au RGPD pour faire le point sur les nouvelles règles et connaître les outils qui sont obligatoires depuis mai 2018, afin de lancer la mise en conformité au plus tôt dans votre organisme.

Cette formation est adressée aux CIL/DPO/DSI/RSSI/Responsable qualité et conformité.

#Fiche 2 : Authentifier les utilisateurs.

Cartographie de l’ensemble du SI permettant de détecter la connexion d’appareils étrangers au SI. Il permet de détecter les protocoles d’accès et d’authentification (ssh/smtp/FTP/…)

#Fiche 3 : Gérer les habilitations.

#Fiche 4 : Tracer les accès et gérer les incidents.

#Fiche 5 : Sécuriser les postes de travail. 

#Fiche 6 : Sécuriser l’informatique mobile. 

#Fiche 7 : Protéger le réseau informatique interne.

#Fiche 8 : Sécuriser les serveurs.

#Fiche 9 : Sécuriser les sites web.

Cartographie de l’ensemble du réseau. Note de criticité et correctifs associés. Identification des vulnérabilités et logiciels non mis à jour de la plupart des périphériques et applications, y compris les firewalls, les serveurs, les systèmes d’exploitation de bureau, les imprimantes, les appareils sans fil, ainsi que de nombreux autres éléments.

RGPD. SANCTIONS. CARREFOUR. GOOGLE. H&m.

Le mois de janvier est consacré au RGDP, que j’appelle dans mes travaux un amplificateur de risques (p.47, chapitre 1) / https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

Au programme :

  • article / sanctions Carrefour France (2,25 millions euros) et Carrefour Banque (800 000 euros) / avec les délibérations et pour approfondir les références aux articles de la CNIL
  • article / sanctions Google LLC (60 millions d’euros) et Google Ireland Limited (40 millions d’euros)
  • article sanctions H&M (35 millions d’euros)

Sanctions de 2 250 000 euros et de 800 000 euros pour les sociétés CARREFOUR FRANCE et CARREFOUR BANQUE

26 novembre 2020


Saisie de plusieurs plaintes, la CNIL a sanctionné deux sociétés du groupe CARREFOUR pour des manquements au RGPD concernant notamment l’information délivrée aux personnes et le respect de leurs droits.

Saisie de plusieurs plaintes à l’encontre du groupe CARREFOUR, la CNIL a effectué des contrôles entre mai et juillet 2019 auprès des sociétés CARREFOUR FRANCE (secteur de la grande distribution) et CARREFOUR BANQUE (secteur bancaire). À cette occasion, la CNIL a constaté des manquements concernant le traitement des données des clients et des utilisateurs potentiels. La Présidente de la CNIL a donc décidé d’engager une procédure de sanction à l’encontre de ces sociétés.

À l’issue de cette procédure, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a effectivement considéré que les sociétés avaient manqué à plusieurs obligations prévues par le RGPD.

Elle a ainsi sanctionné la société CARREFOUR FRANCE d’une amende de 2 250 000 euros et la société CARREFOUR BANQUE d’une amende de 800 000 euros. En revanche, elle n’a pas prononcé d’injonction dès lors qu’elle a constaté que des efforts importants avaient permis la mise en conformité sur tous les manquements relevés.

Des manquements à l’obligation d’informer les personnes (article 13 du RGPD)

L’information fournie aux utilisateurs des sites carrefour.fr et carrefour-banque.fr comme aux personnes désirant adhérer au programme de fidélité ou à la carte Pass n’était pas facilement accessible (accès à l’information trop compliqué, dans des documents très longs contenant d’autres informations), ni facilement compréhensible (information rédigée en des termes généraux et imprécis, utilisant parfois des formulations inutilement compliquées). De plus, elle était incomplète en ce qui concerne la durée de conservation des données.

Concernant le site carrefour.fr, l’information était également insuffisante en ce qui concerne les transferts de données hors de l’Union européenne et la base légale des traitements (fichiers).

Sur ce point, les sociétés ont modifié leurs mentions d’information et sites web durant la procédure pour se mettre en conformité.

Des manquements relatifs aux cookies (article 82 de la loi Informatique et Libertés)

La CNIL a constaté que, lorsqu’un utilisateur se connectait au site carrefour.fr ou au site carrefour-banque.fr, plusieurs cookies étaient automatiquement déposés sur son terminal, avant toute action de sa part. Plusieurs de ces cookies servant à la publicité, le consentement de l’utilisateur aurait pourtant dû être recueilli avant le dépôt.

Les sociétés ont modifié, durant la procédure, le fonctionnement de leurs sites web. Plus aucun cookie publicitaire n’est désormais déposé avant que l’utilisateur n’ait donné son accord.

Un manquement à l’obligation de limiter la durée de conservation des données (article 5.1.e du RGPD)

La société CARREFOUR FRANCE ne respectait pas les durées de conservation des données qu’elle avait fixées. Les données de plus de vingt-huit millions de clients inactifs depuis cinq à dix ans étaient ainsi conservées dans le cadre du programme de fidélité. Il en était de même pour 750 000 utilisateurs du site carrefour.fr inactifs depuis cinq à dix ans.

Par ailleurs, en l’espèce, la formation restreinte considère qu’une durée de conservation de 4 ans des données clients après leur dernier achat est excessive. En effet, cette durée, initialement retenue par la société, excède ce qui apparaît nécessaire dans le domaine de la grande distribution, compte tenu des habitudes de consommation des clients qui font principalement des achats réguliers. 

Pendant la procédure, la société CARREFOUR FRANCE a engagé d’importants moyens pour procéder aux modifications nécessaires à sa mise en conformité avec le RGPD. Toutes les données trop anciennes ont notamment été supprimées.

Un manquement à l’obligation de faciliter l’exercice des droits (article 12 du RGPD)

La société CARREFOUR FRANCE exigeait, sauf pour l’opposition à la prospection commerciale, un justificatif d’identité pour toute demande d’exercice de droit. Cette demande systématique n’était pas justifiée dès lors qu’il n’existait pas de doute sur l’identité des personnes exerçant leurs droits. Par ailleurs, la société n’a pas été en mesure de traiter dans les délais exigés par le RGPD plusieurs demandes d’exercice de droits.

Sur ces deux points, la société a modifié ses pratiques durant la procédure. Elle a notamment déployé d’importants moyens humains et organisationnels pour répondre à l’ensemble des demandes reçues dans un délai inférieur à un mois.

Un manquement au respect des droits (articles 15, 17 et 21 du RGPD et L34-5 du Code des postes et des communications électroniques)

Tout d’abord, la société CARREFOUR FRANCE n’a pas donné suite à plusieurs demandes de personnes souhaitant accéder à leurs données personnelles. La société s’est rapprochée de toutes les personnes concernées durant la procédure.

Ensuite, dans plusieurs cas, la société n’a pas procédé à l’effacement de données demandé par plusieurs personnes alors qu’elle aurait dû le faire. Sur ce point également, la société a fait droit à toutes les demandes durant la procédure.

Enfin, la société n’a pas pris en compte plusieurs demandes de personnes s’étant opposées à recevoir de la publicité par SMS ou courrier électronique, notamment en raison d’erreurs techniques ponctuelles. La société s’est mise en conformité durant la procédure sur ce point également.

Un manquement à l’obligation de traiter les données de manière loyale (article 5 du RGPD)

Lorsqu’une personne souscrivant à la carte Pass (carte de crédit pouvant être rattachée au compte fidélité) souhaitait également adhérer au programme de fidélité, elle devait cocher une case indiquant qu’elle acceptait que CARREFOUR BANQUE communique à « Carrefour fidélité » son nom, son prénom et son adresse de courrier électronique. CARREFOUR BANQUE indiquait explicitement qu’aucune autre donnée n’était transmise. La CNIL a pourtant constaté que d’autres données étaient transmises, comme l’adresse postale, le numéro de téléphone et le nombre de ses enfants, bien que la société se fût engagée à ne transmettre aucune autre donnée.

Sur ce point, la société a modifié ses pratiques durant la procédure. Elle a entièrement refondu son parcours de souscription en ligne à la carte Pass et les personnes sont désormais informées de l’ensemble des données transmises à la société CARREFOUR FRANCE.

Les délibérations

> Délibération de la formation restreinte n° SAN-2020-008 du 18 novembre 2020 concernant la société CARREFOUR FRANCE 

> Délibération de la formation restreinte n° SAN-2020-009 du 18 novembre 2020 concernant la société CARREFOUR BANQUE 

Pour approfondir

> La procédure de sanction

Les textes de référence

> Article 5 du règlement général sur la protection des données (principes relatifs au traitement des données personnelles) 

> Article 5.1.e du RGPD (conservation des données) 

> Article 12 du RGPD (transparence des informations et des communications et modalités de l’exercice des droits de la personne concernée) 

> Article 13 du RGPD (informations à fournir lorsque des données personnelles sont collectées auprès de la personne concernée) 

> Article 15 du RGPD (droits de la personne concernée) 

> Article 17 du RGPD (droit à l’effacement ou droit à l’oubli) 

> Article 21 du RGPD (droit d’opposition) 

> Article 82 de la loi Informatique et Libertés (droits et obligations propres aux traitements dans le secteur des communications électroniques) 

> Article L34-5 du Code des postes et des communications électroniques 

Cookies : sanction de 60 millions d’euros à l’encontre de GOOGLE LLC et de 40 millions d’euros à l’encontre de GOOGLE IRELAND LIMITED

10 décembre 2020

Le 7 décembre 2020, la formation restreinte de la CNIL a sanctionné les sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED d’un montant total de 100 millions d’euros d’amende, notamment pour avoir déposé des cookies publicitaires sur les ordinateurs d’utilisateurs du moteur de recherche google.fr sans consentement préalable ni information satisfaisante.

Le 16 mars 2020, la CNIL a effectué un contrôle en ligne sur le site web google.fr qui a permis de constater que lorsqu’un utilisateur se rendait sur ce site, des cookies étaient automatiquement déposés sur son ordinateur, sans action de sa part. Plusieurs de ces cookies poursuivaient un objectif publicitaire.

Les manquements à la loi Informatique et Libertés

La formation restreinte, organe de la CNIL chargé de prononcer les sanctions, a relevé trois violations à l’article 82 de la loi Informatique et Libertés :

Un dépôt de cookies sans recueil préalable du consentement de l’utilisateur

Lorsqu’un utilisateur se rendait sur la page google.fr, plusieurs cookies poursuivant une finalité publicitaire étaient automatiquement déposés sur son ordinateur sans action de sa part.

Ce type de cookies ne pouvant être déposé sans que l’utilisateur ait exprimé son consentement, la formation restreinte a considéré que les sociétés n’avaient pas respecté l’exigence prévue par l’article 82 de la loi Informatique et Libertés de recueil préalable du consentement avant le dépôt de cookies non essentiels au service.

Un défaut d’information des utilisateurs du moteur de recherche google.fr

Lorsqu’un utilisateur se rendait sur la page google.fr, un bandeau d’information s’affichait en pied de page, portant la mention suivante « Rappel concernant les règles de confidentialité de Google » en face de laquelle figuraient deux boutons intitulés « Me le rappeler plus tard » et « Consulter maintenant ».

Ce bandeau ne fournissait à l’utilisateur aucune information relative aux cookies qui avaient pourtant déjà été déposés sur son ordinateur, dès son arrivée sur le site. Cette information ne lui était pas non plus fournie lorsqu’il cliquait sur le bouton « Consulter maintenant ».

La formation restreinte a donc estimé que l’information fournie par les sociétés ne permettait pas aux utilisateurs résidant en France d’être préalablement et clairement renseignés quant au dépôt de cookies sur leur ordinateur ni, par conséquent, des objectifs de ces cookies et des moyens mis à leur disposition quant à la possibilité de les refuser.

La défaillance partielle du mécanisme « d’opposition »

Lorsqu’un utilisateur désactivait la personnalisation des annonces sur la recherche Google en recourant au mécanisme mis à sa disposition à partir du bouton « Consulter maintenant », un des cookies publicitaires demeurait stocké sur son ordinateur et continuait de lire des informations à destination du serveur auquel il est rattaché.

La formation restreinte a donc estimé que le mécanisme « d’opposition » mis en place par les sociétés était partiellement défaillant, en violation de l’article 82 de la loi Informatique et Libertés.

La sanction prononcée par la formation restreinte

La formation restreinte a sanctionné la société GOOGLE LLC d’une amende de 60 millions d’euros et la société GOOGLE IRELAND LIMITED d’une amende de 40 millions d’euros, rendues publiques.

La formation restreinte a justifié ces montants au regard de la gravité du triple manquement précité à l’article 82 de la loi Informatique et Libertés.

Elle a également souligné la portée du moteur de recherche Google Search en France et le fait que les pratiques des sociétés ont affecté près de cinquante millions d’utilisateurs.

Enfin, elle a relevé les bénéfices considérables que les sociétés tirent des revenus publicitaires indirectement générés à partir des données collectées par ces cookies publicitaires.

La formation restreinte a pris acte que, depuis une mise à jour de septembre 2020, les sociétés cessent de déposer automatiquement les cookies publicitaires dès l’arrivée de l’utilisateur sur la page google.fr.

Elle a néanmoins relevé que le nouveau bandeau d’information mis en œuvre par les sociétés lors de l’arrivée sur la page google.fr ne permettait toujours pas aux utilisateurs résidant en France de comprendre les finalités pour lesquelles les cookies sont utilisés et ne les informait pas du fait qu’ils pouvaient refuser ces cookies.

Dès lors, en complément des amendes administratives, la formation restreinte a également adopté une injonction sous astreinte afin que les sociétés procèdent à une information des personnes conforme à l’article 82 de la loi Informatique et Libertés dans un délai de 3 mois à compter de la notification. Dans le cas contraire, les sociétés s’exposeront au paiement d’une astreinte de 100 000 euros par jour de retard.

Une compétence de la CNIL 

Dans sa délibération, la formation restreinte a rappelé que la CNIL est matériellement compétente pour contrôler et sanctionner les cookies déposés par les sociétés sur les ordinateurs des utilisateurs résidant en France. Elle a souligné ainsi que le mécanisme de coopération prévu par le RGPD (mécanisme de « guichet unique ») n’avait pas vocation à s’appliquer dans cette procédure étant donné que les opérations liées à l’utilisation des cookies relèvent de la directive « ePrivacy », transposée à l’article 82 de la loi Informatique et Libertés.

Elle a considéré qu’elle est également territorialement compétente en application de l’article 3 de la loi Informatique et Libertés car le recours à des cookies est effectué dans le « cadre des activités » de la société GOOGLE FRANCE qui constitue « l’établissement » sur le territoire français des sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED et y assure la promotion de leurs produits et services.

Elle a également estimé que les sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED sont conjointement responsables dès lors qu’elles déterminent toutes les deux les finalités et les moyens liés à l’usage des cookies.

L’articulation de la sanction avec les travaux de la CNIL sur les cookies

Dans le cadre de son plan d’action sur le ciblage publicitaire et pour tenir compte de l’entrée en application du RGPD, la CNIL a publié le 1er octobre 2020 ses lignes directrices modificatives ainsi qu’une recommandation portant sur l’usage de cookies et autres traceurs. La CNIL a demandé aux acteurs de se conformer aux règles ainsi clarifiées, en estimant que cette période d’adaptation ne devrait pas dépasser six mois.

À cette occasion, elle a néanmoins précisé qu’elle continuerait notamment à contrôler pleinement le respect des autres obligations qui n’ont fait l’objet d’aucune modification et le cas échéant, d’adopter des mesures correctrices pour protéger la vie privée des internautes.

Les obligations dont la CNIL sanctionne aujourd’hui le non-respect par les sociétés préexistaient au RGPD et ne font donc pas partie de celles qui ont été clarifiées par les nouvelles lignes directrices et la recommandation du 1er octobre 2020.

Note : La société GOOGLE LLC, établie en Californie, développe le moteur de recherche Google Search. La société GOOGLE IRELAND LIMITED, dont le siège est en Irlande, se présente comme le siège européen du groupe Google. La société GOOGLE FRANCE est l’établissement en France de la société GOOGLE LLC.

Une amende de 35 millions d’euros pour H&M qui a stocké les données personnelles des salariés

Ces faits ont été dévoilés en octobre 2019, lorsqu’une erreur informatique les a rendus accessibles, pendant quelques heures, à l’ensemble de l’entreprise.     

Une amende de plus de 35 millions d’euros a été prononcée contre l’enseigne H&M en Allemagne jeudi. Le groupe a été condamné pour avoir rassemblé et stocké des informations sur une centaine de salariés.

L’Allemagne a infligé jeudi une amende sans précédent de 35,3 millions d’euros au groupe de prêt-à-porter H&M, pour avoir enregistré des données privées de certains salariés à leur insu, a annoncé le centre de protection des données du pays jeudi.

« Large connaissance » de la vie privée des employés

« Une amende de 35 258 707,95 euros est requise contre H&M (…) pour une affaire de surveillance de plusieurs centaines de ses collaborateurs », a indiqué le Commissariat à la protection des données de Hambourg. Il s’agit du montant le plus important infligé par l’Allemagne à une entreprise au nom de la législation européenne sur la protection des données privées (RGPD), depuis son entrée en vigueur en 2018, a indiqué une porte-parole de l’institution.

Les autorités reprochent au groupe de prêt-à-porter d’avoir laissé des responsables d’un site H&M, à Nuremberg (sud), rassembler et stocker des informations sur leurs salariés, entre 2014 et 2019. « Certains de ces supérieurs ont acquis une large connaissance de la vie privée de leurs employés », a constaté le centre de protection.

Une erreur informatique

Après l’absence d’un collaborateur, les responsables du site organisaient systématiquement un entretien, traitant « des vacances », ou des « symptômes et diagnostics » du salarié, en cas de congés maladie. Ces informations étaient ensuite « enregistrées », stockées numériquement, et servaient à « établir des profils individuels ».

H&M insiste sur l’aspect « local » de ces pratiques

Les supérieurs obtenaient également des éléments de vie privée de leurs collaborateurs lors de discussions informelles, notamment sur des « problèmes familiaux », ou des « croyances religieuses ». Ces données étaient ensuite « disponibles à la lecture pour jusqu’à 50 responsables du groupe ».

Réagissant à la décision des autorités allemandes, la marque de prêt-à-porter a présenté ses excuses pour des faits qu’elle estime « non conformes aux directives et instructions » du groupe. H&M insiste sur l’aspect « local » de ces pratiques, et affirme avoir « signalé immédiatement les faits » aux autorités, après en avoir pris connaissance.

Ces faits ont été dévoilés en octobre 2019, lorsqu’une erreur informatique les a rendus accessibles, pendant quelques heures, à l’ensemble de l’entreprise. 

L’Europe veut protéger la vie privée

Le Règlement européen de protection des données a renforcé les obligations des entreprises en termes de protection de la vie privée. Il prévoit des amendes pouvant aller jusqu’à 4% de leur chiffre d’affaires.

En 2019, l’Allemagne a déjà condamné le groupe immobilier Deutsche Wohnen à une amende de 14,5 millions d’euros pour avoir archivé des données sensibles de ses locataires. La France a de son côté infligé une sanction de 50 millions d’euros au géant de l’informatique Google, pour défaut d’information de ses utilisateurs de leurs données personnelles. L’amende la plus élevée a été infligée par le Royaume-Uni à la compagnie aérienne British Airways, qui a écopé en 2019 d’une sanction de 183 millions de livres (200 millions d’euros), pour un vol des données financières de centaines de milliers de ses clients.

RGPD. RAPPEL. BILAN 2020. QUELS PLANS D’ACTIONS ?

Je vous souhaite à tous une Excellente Année 2021 : respiration, aération, inspiration…
Le mois de janvier du blog sera consacré au RGDP, que j’appelle dans mes travaux un amplificateur de risques (p.47, chapitre 1) / https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html
Nous avons déjà abordé le sujet en 2019 et 2020. Vous pouvez relire en avril 2019 « RGPD, les sanctions tombent » et en avril 2020 « Le contexte réglementaire qui accentue l’intérêt des entreprises pour les risques liés au télétravail, à savoir le RGPD…» A retrouver dans les archives tout en bas du menu déroulant en bas à gauche.
Aujourd’hui, 11 janvier 2021. Rappel du contexte réglementaire : le RGPD. 1er éléments de bilan 2020 à partir de deux articles :
  • « Pourquoi le RGPD n’a (presque) rien changé pour les internautes » et constat d’un relatif échec
  • Quelques chiffres sur le montant des sanctions en Europe

Au programme. Le 18 janvier 2021

  • article / sanctions H&M
  • article / sanctions Google
  • article / sanctions Carrefour / avec les délibérations et pour approfondir les références aux articles de la CNIL

Au programme. Le 25 janvier 2021

  • Règles de l’ANSSI et de la CNIL à suivre / Quels Plans d’Actions ? (source : I-Trust)

Rappel du contexte réglementaire : le RGPD.

General Data Protection Regulation (GDPR) ou Réglement Général pour la Protection de données (RGPD)

Date : entrée en vigueur le 26 mai 2016 ; applicable à partir du 25 mai 2018.

Dispositif : le nouveau règlement européen modifie le cadre juridique relatif à la protection des données à caractère personnel au sein de l’Union européenne. Les entreprises devront déclarer aux autorités de leur pays (et dans certains cas aux personnes concernées) les violations de données à caractère personnel sous 72 heures en suivant les dispositions spécifiques du GDPR  et en conservant un registre de violation.

Champ d’application : toutes les entreprises qui collectent, traitent, et stockent des données à caractère personnel.

Sanctions : action judiciaire des individus pour réclamer des dommages et intérêts ; actions de groupe ; amende administrative jusqu’à 20 millions d’euros ou 4% du Chiffre d’Affaires mondial.

Il s’attarde sur les risques de notre époque post-moderne (violation de données, perte des données, traitement illicite de données…).

Pour en savoir plus : « Règlement Général pour la Protection des Données. Comment l’entreprise doit-elle protéger les données personnelles ?, Cahier technique de l’AMRAE, juillet 2018.

Quelques Chiffres

En 2020, le montant des amendes pour non-respect du RGPD s’élève à 171 millions d’euros. C’est l’Italie qui a infligé le plus de sanctions, avec 34 infractions constatées, soit un montant correspondant à 58,16 millions d’amendes.

Le nombre d’affaires croissant porté devant les autorités de protection des données personnelles devrait toutefois mener à une hausse du montant total de sanctions dans les années à venir, notamment après l’invalidation du Privacy Shield par la Cour de Justice européenne (CJUE).
En 2020, le montant des amendes pour non-respect du RGPD s’est élevé à 171 millions d’euros

C’est l’Italie qui a infligé le plus de sanctions.

Le classement des pays qui ont infligé le plus d’amendes au titre du règlement général sur la protection des données vient de sortir. Selon Finbold, le montant total des sanctions s’élève cette année à 171,3 millions d’euros. C’est l’Italie qui arrive en tête du classement avec 34 infractions constatées pour ses entreprises et un total de 58,16 millions d’euros d’amendes infligées.

L’étonnante dernière position de l’Irlande

En mai 2018, après plusieurs années de réflexion et de travail, le RGPD voyait le jour. Ce règlement européen précède à la directive 95/46/CE instaurée en 1995 par le Parlement Européen. Un véritable chantier juridique qui semble désormais porter ses fruits. En effet, si entre mai 2018 (date d’entrée en vigueur du texte) et janvier 2020, seulement 114 millions d’euros d’amendes avaient été comptabilisés, entre janvier 2020 et décembre 2020, le montant total des sanctions est plus élevé. Il atteint précisément 171,3 millions d’euros.

Il est intéressant de s’arrêter sur le classement des pays. Premier constat étonnant : l’Irlande est en dernière position dans ce classement des pays qui ont infligé le plus d’amendes au titre du RGPD. Seulement 630 000 euros d’amendes. Ce pays est pourtant le centre névralgique de la protection des données. C’est là que Google, Facebook, LinkedIn, Microsoft, Airbnb, Hubspot, Stripe, Smartbox, Dropbox, Slack, Salesforce ou encore IBM ont leur siège social… Des entreprises susceptibles de ne pas respecter le règlement général sur la protection des données.

La France inflige 3 millions d’euros d’amendes

En première position de ce classement, nous retrouvons l’Italie. La Garante per la protezione dei dati personali, l’équivalent de la Cnil en Italie, a délivré un total de 58,16 millions d’euros d’amendes. Parmi les entreprises concernées, nous retrouvons Eni Gas et Luce, un fournisseur italien d’électricité et de gaz. L’entreprise a dû s’acquitter d’une grosse amende de 11,5 millions d’euros. Le Royaume-Uni se classe en deuxième position avec 49,3 millions d’euros d’amendes. On se souvient notamment de l’amende prononcée à l’encontre de British Airways.

L’Allemagne est troisième avec 37,39 millions d’euros d’amendes. Ensuite nous retrouvons la Suède, l’Espagne et la France en sixième position avec seulement 3 millions d’euros d’amendes. L’amende la plus importante est celle dont Carrefour Banque a dû s’acquitter en fin d’année. En 2021, l’invalidation du Privacy Shield par la Cour de justice européenne (CJUE) devrait représenter un véritable défi pour les autorités de protection des données. 5 300 entreprises sont concernées et cela rebat totalement les cartes des flux de données. Enfin, notons que malgré le Brexit, le RGPD reste applicable jusqu’en juillet 2021.

Par Valentin Cimino 

 

TOUT SAVOIR SUR LA GESTION DES RISQUES ET LE RISK MANAGER EN FRANCE. UNE LECTURE DE Noel : « LA FONCTION RISK MANAGER : ORGANISATION, MÉTHODES ET POSITIONNEMENT » !  

Merci d’avoir suivi mon blog.

A la rentrée : retour sur le rôle du législateur-régulateur comme amplificateur de risques avec les premières sanctions pour infraction au RGPD, point sur le marché des assurances, le rôle des captives…

Je terminerai l’année civile sur ce conseil de lecture. Ce sera le dernier post avant 2021.

Lien vers l’ouvrage : https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html