Archives pour la catégorie Réglementation et Gestion des Risques

RGPD. BEST-PRACTICES ET PLANS D’ACTIONS

Le mois de janvier est consacré au RGDP, que j’appelle dans mes travaux un amplificateur de risques (p.47, chapitre 1) / https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html
Après le rappel du contexte réglementaire, les 1eréléments de bilan 2020 et les sanctions (Carrefour et Carrefour Banque, Google, H&M) je vous propose, à partir d’éléments communiqués par l’entreprise toulousaine I-Trust (Editeur de solutions de Cybersécurité), une synthèse de best practices issues des règles de l’ANSSI et des recommandations de la CNIL. Autant de best pratices à suivre et de plans d’actions à mettre en œuvre.

Les règles de conformité RGPD imposent aux entreprises de se sécuriser selon les meilleures pratiques issues des :

Les règles d’hygiènes et bonnes pratiques de l’ANSSI

# 4 : Identifier les informations et serveurs les plus sensibles et maintenir un schéma du réseau.

Maintenir la cartographie du SI et des informations sensibles via les tags RGPD.

# 5 : Disposer d’un inventaire des comptes privilégiés et les maintenir à jour.

Identifier les comptes privilégiés et de vérifier en continu leur mise à jour. 

# 7 : Autoriser la connexion au réseau de l’entité aux seuls équipements maîtrisés.

Détecter la connexion d’appareils étrangers au SI.

#8 : Identifier nommément chaque personne accédant au système et distinguer les rôles utilisateur/administrateur. Journalisation activée.

Détecter les comportements malveillants sur les opérations de comptes et les partages réseaux. 

Détecter les bruits de force de compte. 

# 10 : Définir et vérifier des règles de choix et de dimensionnement des mots de passe.

Détecter des mots de passe triviaux actifs sur le réseau.

# 12 : Changer les éléments d’authentification par défaut sur les équipements et services.

Détecter les mots de passe par défaut sur les équipements et services.

# 14 : Mettre en place un niveau de sécurité minimal sur l’ensemble du parc informatique. Cette règle concerne essentiellement des points de configuration (chiffrement disque, désactivation autorun, etc.).

# 18 : Chiffrer les données sensibles transmises par voie Internet.

Détecter la présence de services d’échange ou d’interface de connexion non sécurisés.

# 20 : S’assurer de la sécurité des réseaux d’accès Wi-Fi et de la séparation des usages.

Scanner la sécurité des équipements impliqués dans le WiFi (bornes, routeur, etc.)

#21 : Utiliser des protocoles réseaux sécurisés dès qu’ils existent.

Détecter les services en écoute qui ne garantissent pas la sécurité des transmissions.

# 22 : Mettre en place une passerelle d’accès sécurisé à Internet.

Scanner la sécurité de cette passerelle.

#34 : Définir une politique de mise à jour des composants du système d’information.

Détecter les problèmes d’obsolescence des composants.

#36 : Activer et configurer les journaux des composants les plus importants.

Effectuer une étude contextuelle du SI. Journaliser les éléments suivants : > pare-feu : paquets bloqués ; > systèmes et applications : authentifications et autorisations (échecs et succès), arrêts inopinés ; > services : erreurs de protocoles (par exemples les erreurs 403, 404 et 500 pour les services HTTP), traçabilité des flux applicatifs aux interconnexions (URL sur un relai HTTP, en-têtes des messages sur un relai SMTP, etc.). Pour se faire un centre opérationnel de sécurité doit être installé. 

#38 : Procéder à des contrôles et audits de sécurité régulier puis appliquer les actions correctives associées.

Auditer le réseau en continu et éliminer les vulnérabilités évidentes pour que les auditeurs puissent se concentrer sur les failles cachées.

Procéder à des contrôles et audits de sécurité réguliers pour appliquer les actions correctives associées. 

# 40 : Définir une procédure de gestion des incidents.

Surveiller en continu toute intrusion ou malveillance présente sur le SI.

# 42 : Privilégier l’usage de produits et de services qualifiés par l’ANSSI.

Obtenir la certification CSPN.

Les règles de la CNIL. Les fiches CNIL sur la sécurité des données personnelles. 

#Fiche 1 : Sensibiliser les utilisateurs

Formation au RGPD pour faire le point sur les nouvelles règles et connaître les outils qui sont obligatoires depuis mai 2018, afin de lancer la mise en conformité au plus tôt dans votre organisme.

Cette formation est adressée aux CIL/DPO/DSI/RSSI/Responsable qualité et conformité.

#Fiche 2 : Authentifier les utilisateurs.

Cartographie de l’ensemble du SI permettant de détecter la connexion d’appareils étrangers au SI. Il permet de détecter les protocoles d’accès et d’authentification (ssh/smtp/FTP/…)

#Fiche 3 : Gérer les habilitations.

#Fiche 4 : Tracer les accès et gérer les incidents.

#Fiche 5 : Sécuriser les postes de travail. 

#Fiche 6 : Sécuriser l’informatique mobile. 

#Fiche 7 : Protéger le réseau informatique interne.

#Fiche 8 : Sécuriser les serveurs.

#Fiche 9 : Sécuriser les sites web.

Cartographie de l’ensemble du réseau. Note de criticité et correctifs associés. Identification des vulnérabilités et logiciels non mis à jour de la plupart des périphériques et applications, y compris les firewalls, les serveurs, les systèmes d’exploitation de bureau, les imprimantes, les appareils sans fil, ainsi que de nombreux autres éléments.

RGPD. SANCTIONS. CARREFOUR. GOOGLE. H&m.

Le mois de janvier est consacré au RGDP, que j’appelle dans mes travaux un amplificateur de risques (p.47, chapitre 1) / https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

Au programme :

  • article / sanctions Carrefour France (2,25 millions euros) et Carrefour Banque (800 000 euros) / avec les délibérations et pour approfondir les références aux articles de la CNIL
  • article / sanctions Google LLC (60 millions d’euros) et Google Ireland Limited (40 millions d’euros)
  • article sanctions H&M (35 millions d’euros)

Sanctions de 2 250 000 euros et de 800 000 euros pour les sociétés CARREFOUR FRANCE et CARREFOUR BANQUE

26 novembre 2020


Saisie de plusieurs plaintes, la CNIL a sanctionné deux sociétés du groupe CARREFOUR pour des manquements au RGPD concernant notamment l’information délivrée aux personnes et le respect de leurs droits.

Saisie de plusieurs plaintes à l’encontre du groupe CARREFOUR, la CNIL a effectué des contrôles entre mai et juillet 2019 auprès des sociétés CARREFOUR FRANCE (secteur de la grande distribution) et CARREFOUR BANQUE (secteur bancaire). À cette occasion, la CNIL a constaté des manquements concernant le traitement des données des clients et des utilisateurs potentiels. La Présidente de la CNIL a donc décidé d’engager une procédure de sanction à l’encontre de ces sociétés.

À l’issue de cette procédure, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a effectivement considéré que les sociétés avaient manqué à plusieurs obligations prévues par le RGPD.

Elle a ainsi sanctionné la société CARREFOUR FRANCE d’une amende de 2 250 000 euros et la société CARREFOUR BANQUE d’une amende de 800 000 euros. En revanche, elle n’a pas prononcé d’injonction dès lors qu’elle a constaté que des efforts importants avaient permis la mise en conformité sur tous les manquements relevés.

Des manquements à l’obligation d’informer les personnes (article 13 du RGPD)

L’information fournie aux utilisateurs des sites carrefour.fr et carrefour-banque.fr comme aux personnes désirant adhérer au programme de fidélité ou à la carte Pass n’était pas facilement accessible (accès à l’information trop compliqué, dans des documents très longs contenant d’autres informations), ni facilement compréhensible (information rédigée en des termes généraux et imprécis, utilisant parfois des formulations inutilement compliquées). De plus, elle était incomplète en ce qui concerne la durée de conservation des données.

Concernant le site carrefour.fr, l’information était également insuffisante en ce qui concerne les transferts de données hors de l’Union européenne et la base légale des traitements (fichiers).

Sur ce point, les sociétés ont modifié leurs mentions d’information et sites web durant la procédure pour se mettre en conformité.

Des manquements relatifs aux cookies (article 82 de la loi Informatique et Libertés)

La CNIL a constaté que, lorsqu’un utilisateur se connectait au site carrefour.fr ou au site carrefour-banque.fr, plusieurs cookies étaient automatiquement déposés sur son terminal, avant toute action de sa part. Plusieurs de ces cookies servant à la publicité, le consentement de l’utilisateur aurait pourtant dû être recueilli avant le dépôt.

Les sociétés ont modifié, durant la procédure, le fonctionnement de leurs sites web. Plus aucun cookie publicitaire n’est désormais déposé avant que l’utilisateur n’ait donné son accord.

Un manquement à l’obligation de limiter la durée de conservation des données (article 5.1.e du RGPD)

La société CARREFOUR FRANCE ne respectait pas les durées de conservation des données qu’elle avait fixées. Les données de plus de vingt-huit millions de clients inactifs depuis cinq à dix ans étaient ainsi conservées dans le cadre du programme de fidélité. Il en était de même pour 750 000 utilisateurs du site carrefour.fr inactifs depuis cinq à dix ans.

Par ailleurs, en l’espèce, la formation restreinte considère qu’une durée de conservation de 4 ans des données clients après leur dernier achat est excessive. En effet, cette durée, initialement retenue par la société, excède ce qui apparaît nécessaire dans le domaine de la grande distribution, compte tenu des habitudes de consommation des clients qui font principalement des achats réguliers. 

Pendant la procédure, la société CARREFOUR FRANCE a engagé d’importants moyens pour procéder aux modifications nécessaires à sa mise en conformité avec le RGPD. Toutes les données trop anciennes ont notamment été supprimées.

Un manquement à l’obligation de faciliter l’exercice des droits (article 12 du RGPD)

La société CARREFOUR FRANCE exigeait, sauf pour l’opposition à la prospection commerciale, un justificatif d’identité pour toute demande d’exercice de droit. Cette demande systématique n’était pas justifiée dès lors qu’il n’existait pas de doute sur l’identité des personnes exerçant leurs droits. Par ailleurs, la société n’a pas été en mesure de traiter dans les délais exigés par le RGPD plusieurs demandes d’exercice de droits.

Sur ces deux points, la société a modifié ses pratiques durant la procédure. Elle a notamment déployé d’importants moyens humains et organisationnels pour répondre à l’ensemble des demandes reçues dans un délai inférieur à un mois.

Un manquement au respect des droits (articles 15, 17 et 21 du RGPD et L34-5 du Code des postes et des communications électroniques)

Tout d’abord, la société CARREFOUR FRANCE n’a pas donné suite à plusieurs demandes de personnes souhaitant accéder à leurs données personnelles. La société s’est rapprochée de toutes les personnes concernées durant la procédure.

Ensuite, dans plusieurs cas, la société n’a pas procédé à l’effacement de données demandé par plusieurs personnes alors qu’elle aurait dû le faire. Sur ce point également, la société a fait droit à toutes les demandes durant la procédure.

Enfin, la société n’a pas pris en compte plusieurs demandes de personnes s’étant opposées à recevoir de la publicité par SMS ou courrier électronique, notamment en raison d’erreurs techniques ponctuelles. La société s’est mise en conformité durant la procédure sur ce point également.

Un manquement à l’obligation de traiter les données de manière loyale (article 5 du RGPD)

Lorsqu’une personne souscrivant à la carte Pass (carte de crédit pouvant être rattachée au compte fidélité) souhaitait également adhérer au programme de fidélité, elle devait cocher une case indiquant qu’elle acceptait que CARREFOUR BANQUE communique à « Carrefour fidélité » son nom, son prénom et son adresse de courrier électronique. CARREFOUR BANQUE indiquait explicitement qu’aucune autre donnée n’était transmise. La CNIL a pourtant constaté que d’autres données étaient transmises, comme l’adresse postale, le numéro de téléphone et le nombre de ses enfants, bien que la société se fût engagée à ne transmettre aucune autre donnée.

Sur ce point, la société a modifié ses pratiques durant la procédure. Elle a entièrement refondu son parcours de souscription en ligne à la carte Pass et les personnes sont désormais informées de l’ensemble des données transmises à la société CARREFOUR FRANCE.

Les délibérations

> Délibération de la formation restreinte n° SAN-2020-008 du 18 novembre 2020 concernant la société CARREFOUR FRANCE 

> Délibération de la formation restreinte n° SAN-2020-009 du 18 novembre 2020 concernant la société CARREFOUR BANQUE 

Pour approfondir

> La procédure de sanction

Les textes de référence

> Article 5 du règlement général sur la protection des données (principes relatifs au traitement des données personnelles) 

> Article 5.1.e du RGPD (conservation des données) 

> Article 12 du RGPD (transparence des informations et des communications et modalités de l’exercice des droits de la personne concernée) 

> Article 13 du RGPD (informations à fournir lorsque des données personnelles sont collectées auprès de la personne concernée) 

> Article 15 du RGPD (droits de la personne concernée) 

> Article 17 du RGPD (droit à l’effacement ou droit à l’oubli) 

> Article 21 du RGPD (droit d’opposition) 

> Article 82 de la loi Informatique et Libertés (droits et obligations propres aux traitements dans le secteur des communications électroniques) 

> Article L34-5 du Code des postes et des communications électroniques 

Cookies : sanction de 60 millions d’euros à l’encontre de GOOGLE LLC et de 40 millions d’euros à l’encontre de GOOGLE IRELAND LIMITED

10 décembre 2020

Le 7 décembre 2020, la formation restreinte de la CNIL a sanctionné les sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED d’un montant total de 100 millions d’euros d’amende, notamment pour avoir déposé des cookies publicitaires sur les ordinateurs d’utilisateurs du moteur de recherche google.fr sans consentement préalable ni information satisfaisante.

Le 16 mars 2020, la CNIL a effectué un contrôle en ligne sur le site web google.fr qui a permis de constater que lorsqu’un utilisateur se rendait sur ce site, des cookies étaient automatiquement déposés sur son ordinateur, sans action de sa part. Plusieurs de ces cookies poursuivaient un objectif publicitaire.

Les manquements à la loi Informatique et Libertés

La formation restreinte, organe de la CNIL chargé de prononcer les sanctions, a relevé trois violations à l’article 82 de la loi Informatique et Libertés :

Un dépôt de cookies sans recueil préalable du consentement de l’utilisateur

Lorsqu’un utilisateur se rendait sur la page google.fr, plusieurs cookies poursuivant une finalité publicitaire étaient automatiquement déposés sur son ordinateur sans action de sa part.

Ce type de cookies ne pouvant être déposé sans que l’utilisateur ait exprimé son consentement, la formation restreinte a considéré que les sociétés n’avaient pas respecté l’exigence prévue par l’article 82 de la loi Informatique et Libertés de recueil préalable du consentement avant le dépôt de cookies non essentiels au service.

Un défaut d’information des utilisateurs du moteur de recherche google.fr

Lorsqu’un utilisateur se rendait sur la page google.fr, un bandeau d’information s’affichait en pied de page, portant la mention suivante « Rappel concernant les règles de confidentialité de Google » en face de laquelle figuraient deux boutons intitulés « Me le rappeler plus tard » et « Consulter maintenant ».

Ce bandeau ne fournissait à l’utilisateur aucune information relative aux cookies qui avaient pourtant déjà été déposés sur son ordinateur, dès son arrivée sur le site. Cette information ne lui était pas non plus fournie lorsqu’il cliquait sur le bouton « Consulter maintenant ».

La formation restreinte a donc estimé que l’information fournie par les sociétés ne permettait pas aux utilisateurs résidant en France d’être préalablement et clairement renseignés quant au dépôt de cookies sur leur ordinateur ni, par conséquent, des objectifs de ces cookies et des moyens mis à leur disposition quant à la possibilité de les refuser.

La défaillance partielle du mécanisme « d’opposition »

Lorsqu’un utilisateur désactivait la personnalisation des annonces sur la recherche Google en recourant au mécanisme mis à sa disposition à partir du bouton « Consulter maintenant », un des cookies publicitaires demeurait stocké sur son ordinateur et continuait de lire des informations à destination du serveur auquel il est rattaché.

La formation restreinte a donc estimé que le mécanisme « d’opposition » mis en place par les sociétés était partiellement défaillant, en violation de l’article 82 de la loi Informatique et Libertés.

La sanction prononcée par la formation restreinte

La formation restreinte a sanctionné la société GOOGLE LLC d’une amende de 60 millions d’euros et la société GOOGLE IRELAND LIMITED d’une amende de 40 millions d’euros, rendues publiques.

La formation restreinte a justifié ces montants au regard de la gravité du triple manquement précité à l’article 82 de la loi Informatique et Libertés.

Elle a également souligné la portée du moteur de recherche Google Search en France et le fait que les pratiques des sociétés ont affecté près de cinquante millions d’utilisateurs.

Enfin, elle a relevé les bénéfices considérables que les sociétés tirent des revenus publicitaires indirectement générés à partir des données collectées par ces cookies publicitaires.

La formation restreinte a pris acte que, depuis une mise à jour de septembre 2020, les sociétés cessent de déposer automatiquement les cookies publicitaires dès l’arrivée de l’utilisateur sur la page google.fr.

Elle a néanmoins relevé que le nouveau bandeau d’information mis en œuvre par les sociétés lors de l’arrivée sur la page google.fr ne permettait toujours pas aux utilisateurs résidant en France de comprendre les finalités pour lesquelles les cookies sont utilisés et ne les informait pas du fait qu’ils pouvaient refuser ces cookies.

Dès lors, en complément des amendes administratives, la formation restreinte a également adopté une injonction sous astreinte afin que les sociétés procèdent à une information des personnes conforme à l’article 82 de la loi Informatique et Libertés dans un délai de 3 mois à compter de la notification. Dans le cas contraire, les sociétés s’exposeront au paiement d’une astreinte de 100 000 euros par jour de retard.

Une compétence de la CNIL 

Dans sa délibération, la formation restreinte a rappelé que la CNIL est matériellement compétente pour contrôler et sanctionner les cookies déposés par les sociétés sur les ordinateurs des utilisateurs résidant en France. Elle a souligné ainsi que le mécanisme de coopération prévu par le RGPD (mécanisme de « guichet unique ») n’avait pas vocation à s’appliquer dans cette procédure étant donné que les opérations liées à l’utilisation des cookies relèvent de la directive « ePrivacy », transposée à l’article 82 de la loi Informatique et Libertés.

Elle a considéré qu’elle est également territorialement compétente en application de l’article 3 de la loi Informatique et Libertés car le recours à des cookies est effectué dans le « cadre des activités » de la société GOOGLE FRANCE qui constitue « l’établissement » sur le territoire français des sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED et y assure la promotion de leurs produits et services.

Elle a également estimé que les sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED sont conjointement responsables dès lors qu’elles déterminent toutes les deux les finalités et les moyens liés à l’usage des cookies.

L’articulation de la sanction avec les travaux de la CNIL sur les cookies

Dans le cadre de son plan d’action sur le ciblage publicitaire et pour tenir compte de l’entrée en application du RGPD, la CNIL a publié le 1er octobre 2020 ses lignes directrices modificatives ainsi qu’une recommandation portant sur l’usage de cookies et autres traceurs. La CNIL a demandé aux acteurs de se conformer aux règles ainsi clarifiées, en estimant que cette période d’adaptation ne devrait pas dépasser six mois.

À cette occasion, elle a néanmoins précisé qu’elle continuerait notamment à contrôler pleinement le respect des autres obligations qui n’ont fait l’objet d’aucune modification et le cas échéant, d’adopter des mesures correctrices pour protéger la vie privée des internautes.

Les obligations dont la CNIL sanctionne aujourd’hui le non-respect par les sociétés préexistaient au RGPD et ne font donc pas partie de celles qui ont été clarifiées par les nouvelles lignes directrices et la recommandation du 1er octobre 2020.

Note : La société GOOGLE LLC, établie en Californie, développe le moteur de recherche Google Search. La société GOOGLE IRELAND LIMITED, dont le siège est en Irlande, se présente comme le siège européen du groupe Google. La société GOOGLE FRANCE est l’établissement en France de la société GOOGLE LLC.

Une amende de 35 millions d’euros pour H&M qui a stocké les données personnelles des salariés

Ces faits ont été dévoilés en octobre 2019, lorsqu’une erreur informatique les a rendus accessibles, pendant quelques heures, à l’ensemble de l’entreprise.     

Une amende de plus de 35 millions d’euros a été prononcée contre l’enseigne H&M en Allemagne jeudi. Le groupe a été condamné pour avoir rassemblé et stocké des informations sur une centaine de salariés.

L’Allemagne a infligé jeudi une amende sans précédent de 35,3 millions d’euros au groupe de prêt-à-porter H&M, pour avoir enregistré des données privées de certains salariés à leur insu, a annoncé le centre de protection des données du pays jeudi.

« Large connaissance » de la vie privée des employés

« Une amende de 35 258 707,95 euros est requise contre H&M (…) pour une affaire de surveillance de plusieurs centaines de ses collaborateurs », a indiqué le Commissariat à la protection des données de Hambourg. Il s’agit du montant le plus important infligé par l’Allemagne à une entreprise au nom de la législation européenne sur la protection des données privées (RGPD), depuis son entrée en vigueur en 2018, a indiqué une porte-parole de l’institution.

Les autorités reprochent au groupe de prêt-à-porter d’avoir laissé des responsables d’un site H&M, à Nuremberg (sud), rassembler et stocker des informations sur leurs salariés, entre 2014 et 2019. « Certains de ces supérieurs ont acquis une large connaissance de la vie privée de leurs employés », a constaté le centre de protection.

Une erreur informatique

Après l’absence d’un collaborateur, les responsables du site organisaient systématiquement un entretien, traitant « des vacances », ou des « symptômes et diagnostics » du salarié, en cas de congés maladie. Ces informations étaient ensuite « enregistrées », stockées numériquement, et servaient à « établir des profils individuels ».

H&M insiste sur l’aspect « local » de ces pratiques

Les supérieurs obtenaient également des éléments de vie privée de leurs collaborateurs lors de discussions informelles, notamment sur des « problèmes familiaux », ou des « croyances religieuses ». Ces données étaient ensuite « disponibles à la lecture pour jusqu’à 50 responsables du groupe ».

Réagissant à la décision des autorités allemandes, la marque de prêt-à-porter a présenté ses excuses pour des faits qu’elle estime « non conformes aux directives et instructions » du groupe. H&M insiste sur l’aspect « local » de ces pratiques, et affirme avoir « signalé immédiatement les faits » aux autorités, après en avoir pris connaissance.

Ces faits ont été dévoilés en octobre 2019, lorsqu’une erreur informatique les a rendus accessibles, pendant quelques heures, à l’ensemble de l’entreprise. 

L’Europe veut protéger la vie privée

Le Règlement européen de protection des données a renforcé les obligations des entreprises en termes de protection de la vie privée. Il prévoit des amendes pouvant aller jusqu’à 4% de leur chiffre d’affaires.

En 2019, l’Allemagne a déjà condamné le groupe immobilier Deutsche Wohnen à une amende de 14,5 millions d’euros pour avoir archivé des données sensibles de ses locataires. La France a de son côté infligé une sanction de 50 millions d’euros au géant de l’informatique Google, pour défaut d’information de ses utilisateurs de leurs données personnelles. L’amende la plus élevée a été infligée par le Royaume-Uni à la compagnie aérienne British Airways, qui a écopé en 2019 d’une sanction de 183 millions de livres (200 millions d’euros), pour un vol des données financières de centaines de milliers de ses clients.

RGPD. RAPPEL. BILAN 2020. QUELS PLANS D’ACTIONS ?

Je vous souhaite à tous une Excellente Année 2021 : respiration, aération, inspiration…
Le mois de janvier du blog sera consacré au RGDP, que j’appelle dans mes travaux un amplificateur de risques (p.47, chapitre 1) / https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html
Nous avons déjà abordé le sujet en 2019 et 2020. Vous pouvez relire en avril 2019 « RGPD, les sanctions tombent » et en avril 2020 « Le contexte réglementaire qui accentue l’intérêt des entreprises pour les risques liés au télétravail, à savoir le RGPD…» A retrouver dans les archives tout en bas du menu déroulant en bas à gauche.
Aujourd’hui, 11 janvier 2021. Rappel du contexte réglementaire : le RGPD. 1er éléments de bilan 2020 à partir de deux articles :
  • « Pourquoi le RGPD n’a (presque) rien changé pour les internautes » et constat d’un relatif échec
  • Quelques chiffres sur le montant des sanctions en Europe

Au programme. Le 18 janvier 2021

  • article / sanctions H&M
  • article / sanctions Google
  • article / sanctions Carrefour / avec les délibérations et pour approfondir les références aux articles de la CNIL

Au programme. Le 25 janvier 2021

  • Règles de l’ANSSI et de la CNIL à suivre / Quels Plans d’Actions ? (source : I-Trust)

Rappel du contexte réglementaire : le RGPD.

General Data Protection Regulation (GDPR) ou Réglement Général pour la Protection de données (RGPD)

Date : entrée en vigueur le 26 mai 2016 ; applicable à partir du 25 mai 2018.

Dispositif : le nouveau règlement européen modifie le cadre juridique relatif à la protection des données à caractère personnel au sein de l’Union européenne. Les entreprises devront déclarer aux autorités de leur pays (et dans certains cas aux personnes concernées) les violations de données à caractère personnel sous 72 heures en suivant les dispositions spécifiques du GDPR  et en conservant un registre de violation.

Champ d’application : toutes les entreprises qui collectent, traitent, et stockent des données à caractère personnel.

Sanctions : action judiciaire des individus pour réclamer des dommages et intérêts ; actions de groupe ; amende administrative jusqu’à 20 millions d’euros ou 4% du Chiffre d’Affaires mondial.

Il s’attarde sur les risques de notre époque post-moderne (violation de données, perte des données, traitement illicite de données…).

Pour en savoir plus : « Règlement Général pour la Protection des Données. Comment l’entreprise doit-elle protéger les données personnelles ?, Cahier technique de l’AMRAE, juillet 2018.

Quelques Chiffres

En 2020, le montant des amendes pour non-respect du RGPD s’élève à 171 millions d’euros. C’est l’Italie qui a infligé le plus de sanctions, avec 34 infractions constatées, soit un montant correspondant à 58,16 millions d’amendes.

Le nombre d’affaires croissant porté devant les autorités de protection des données personnelles devrait toutefois mener à une hausse du montant total de sanctions dans les années à venir, notamment après l’invalidation du Privacy Shield par la Cour de Justice européenne (CJUE).
En 2020, le montant des amendes pour non-respect du RGPD s’est élevé à 171 millions d’euros

C’est l’Italie qui a infligé le plus de sanctions.

Le classement des pays qui ont infligé le plus d’amendes au titre du règlement général sur la protection des données vient de sortir. Selon Finbold, le montant total des sanctions s’élève cette année à 171,3 millions d’euros. C’est l’Italie qui arrive en tête du classement avec 34 infractions constatées pour ses entreprises et un total de 58,16 millions d’euros d’amendes infligées.

L’étonnante dernière position de l’Irlande

En mai 2018, après plusieurs années de réflexion et de travail, le RGPD voyait le jour. Ce règlement européen précède à la directive 95/46/CE instaurée en 1995 par le Parlement Européen. Un véritable chantier juridique qui semble désormais porter ses fruits. En effet, si entre mai 2018 (date d’entrée en vigueur du texte) et janvier 2020, seulement 114 millions d’euros d’amendes avaient été comptabilisés, entre janvier 2020 et décembre 2020, le montant total des sanctions est plus élevé. Il atteint précisément 171,3 millions d’euros.

Il est intéressant de s’arrêter sur le classement des pays. Premier constat étonnant : l’Irlande est en dernière position dans ce classement des pays qui ont infligé le plus d’amendes au titre du RGPD. Seulement 630 000 euros d’amendes. Ce pays est pourtant le centre névralgique de la protection des données. C’est là que Google, Facebook, LinkedIn, Microsoft, Airbnb, Hubspot, Stripe, Smartbox, Dropbox, Slack, Salesforce ou encore IBM ont leur siège social… Des entreprises susceptibles de ne pas respecter le règlement général sur la protection des données.

La France inflige 3 millions d’euros d’amendes

En première position de ce classement, nous retrouvons l’Italie. La Garante per la protezione dei dati personali, l’équivalent de la Cnil en Italie, a délivré un total de 58,16 millions d’euros d’amendes. Parmi les entreprises concernées, nous retrouvons Eni Gas et Luce, un fournisseur italien d’électricité et de gaz. L’entreprise a dû s’acquitter d’une grosse amende de 11,5 millions d’euros. Le Royaume-Uni se classe en deuxième position avec 49,3 millions d’euros d’amendes. On se souvient notamment de l’amende prononcée à l’encontre de British Airways.

L’Allemagne est troisième avec 37,39 millions d’euros d’amendes. Ensuite nous retrouvons la Suède, l’Espagne et la France en sixième position avec seulement 3 millions d’euros d’amendes. L’amende la plus importante est celle dont Carrefour Banque a dû s’acquitter en fin d’année. En 2021, l’invalidation du Privacy Shield par la Cour de justice européenne (CJUE) devrait représenter un véritable défi pour les autorités de protection des données. 5 300 entreprises sont concernées et cela rebat totalement les cartes des flux de données. Enfin, notons que malgré le Brexit, le RGPD reste applicable jusqu’en juillet 2021.

Par Valentin Cimino 

 

Le régulateur/législateur, amplificateur de risques. Dispositifs anticorruption : 3 ans après la loi Sapin II où en sont les entreprises ?

Amplificateur de Risques

Comme le suggère le concept d’amplification sociale du risque, des facteurs sociaux, institutionnels et psychologiques influencent les perceptions du risque et les comportements à travers un réseau de canaux de communication qui les structurent et les transmettent socialement (Kaperson et al, 1988) ; les risques sont amplifiés et instrumentalisés par des institutions telles que le régulateur-législateur et les médias (Pidgeon et al, 2003).

Le rôle du régulateur-législateur a commencé en France avec la Loi de Sécurité Financière. L’analyse de la période 2008-2018 conduit à constater un renforcement institutionnel de l’obligation de prudence et de vérification. Sur fond de scandales et de crise, les interventions du régulateur-législateur amènent les entreprises à renforcer les systèmes de contrôle interne et de gestion des risques : loi du 3 juillet 2008, ordonnance du 8 décembre 2008 ; rapport du 8 décembre 2009 de l’AMF ; loi Sapin II du 9 décembre 2016…

La loi Sapin II vise à prévenir les risques de blanchiment des capitaux, de financement du terrorisme et de la corruption – la corruption est le fait pour toute personne de solliciter une personne dépositaire de l’autorité publique, moyennant rémunération, un acte relevant de ses fonctions -.

Elle propose six mesures pour cartographier le risque de corruption et le prévenir au niveau organisationnel et individuel. Cette loi n’oblige pas à une communication extérieure spécifique mais elle engage la responsabilité personnelle des dirigeants et celle de la société en tant que personne morale.

Nicolas Dufour et moi-même présentons davantage la loi Sapin II ainsi que les réglementations en vigueur et la soft-law (principe de précaution) dans notre ouvrage ; voir « La Fonction Risk Manager. Organisation. Méthodes et Positionnement », Ed Gereso, p.50.

https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

En février 2020, un peu plus de trois ans après, l’Autorité Française de Anticorruption lançait une enquête sur le niveau de maturité des dispositions anticorruption en entreprise.

L’article ci-dessous présente les principaux résultats de cette enquête, un lien pour y accéder, un article à lire ou relire sur la cartographie des risques de corruption posté sur le blog en juillet 2020

Dispositifs anticorruption : 3 ans après la loi Sapin II où en sont les entreprises ?

Un questionnaire destiné à toutes les entreprises a été transmis aux fédérations professionnelles pour diffusion à leurs adhérents.

Soit près de 2000 entreprises touchées et une collecte de données actualisées sur l’état de la prévention de la corruption dans le secteur privé

L’AFA publie ses résultats dans un rapport d’analyse. Il apporte un éclairage sur la connaissance des entreprises en matière d’atteintes à la probité et identifie différents dispositifs mis en place et axes de progrès:

– 70 % ont un dispositif de prévention perfectible pour la cartographie des risques, l’évaluation de tiers ou le positionnement du responsable de la fonction conformité.  

– focus sur les PME/ ETI non-assujetties à a loi Sapin2 (art.17), quant à leur appropriation des dispositifs anticorruption

– lien avec le plan national pluriannuel de lutte contre la corruption…

Ce diagnostic national permettra à l’AFA d’adapter davantage ses recommandations.

Lien vers le rapport d’analyse :
https://lnkd.in/efX85yY

A relire : le très bon article de Stéphanie Dominguez et Stella Vitchénian « Etablir la cartographie des risques de corruption : un défi en pratique » posté sur ce blog en juillet 2020.

A retrouver dans les archives juillet 2020 (tout en bas du menu déroulant à gauche).

Les affaires et la règlementation. Enron…Wirecard.

Pourquoi le risque devient-t-il une variable centrale de la réflexion organisationnelle ?

Il le devient sous l’effet de cinq facteurs.

L’un de ces facteurs est l’actualité du risque et les affaires.

« Les scandales en série (Maxwell, 1991 ; Enron, 2001 ; Vivendi, 2002 ; Nike, 1990-2000) posent l’exigence de conditions nouvelles d’auditabilité du risque et de transparence. L’objectif est d’accroître la transparence et la fiabilité de l’information comptable et financière des entreprises. » En p.10 de l’ouvrage « La Fonction Risk Manager. Organisation, Méthodes et Positionnement », nous présentons de manière détaillée l’affaire Enron (2001).

https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

Les réglementations qui ont suivi ces affaires (Turnbull Report…loi Sarbanes Oxley…) ont posé l’exigence de nouvelles conditions d’auditabilité du risque et de transparence.

Il y en a eu beaucoup d’autres affaires depuis…Wirecard est clairement l’un d’elles.

Le premier article ci-dessous présente les détails de ce que l’on peut appeler l’affaire Wirecard.

Le second présente les similitudes entre les affaires Enron et Wirecard.

Le régulateur et le cabinet d’audit au coeur de la tempête Wirecard

Comment une entreprise cotée en Bourse, valorisée à plus de 20 milliards d’euros, a-t-elle pu s’écrouler en deux semaines? Après l’arrestation de son patron, le scandale Wirecard place le gendarme financier allemand et le cabinet d’audit EY sur le banc des accusés.

Au lendemain de la demande de mise en liquidation de la fintech Wirecard, les interrogations pullulent quant à ce qui est déjà considéré comme un « scandale sans équivalent dans le monde de la finance », selon les termes du gouvernement allemand. Après avoir reporté la publication de ses résultats à quatre reprises, Wirecard a été contrainte d’admettre que quasiment deux milliards d’euros avaient tout simplement disparu, voire jamais existés. On soupçonne son désormais ex-patron, Markus Braun, d’avoir réalisé de fausses transactions avec des tiers afin de gonfler le bilan de l’entreprise dans le but de la rendre plus attractive pour les investisseurs.

« Comment une fraude aussi audacieuse n’est pas devenue apparente Wirecard est non seulement une société cotée en Bourse à Francfort, mais elle fait de plus partie du Dax, l’indice boursier allemand de référence et la vitrine de l’économie germanique. « Comment une fraude aussi audacieuse n’est pas devenue apparente plus tôt, devra faire l’objet d’une enquête », a estimé jeudi Olav Gutting, chef de groupe CDU/CSU au Bundestag. »La BaFin (l’autorité fédérale allemande de supervision financière, NDLR) devra également répondre à des questions. »

La BaFin ne pourra échapper à une sérieuse remise en question de ses méthodes de travail. Dans une lettre envoyée jeudi soir à Steven Maijoor, le président de l’Autorité européenne de supervision des marchés financiers (ESMA), la Commission européenne demande qu’une « analyse préliminaire » soit conclue « au plus tard le 15 juillet » quant au rôle de la BaFin dans cette débâcle.

Selon les résultats de cette enquête préliminaire, il pourrait y avoir une investigation complète conduisant à la remise d’un rapport par l’ESMA. Ce rapport énumérerait les lacunes de la supervision et donnerait des instructions au gendarme allemand de la finance pour introduire des réformes dans ses méthodes de travail.

Signaux d’alarme ignorés

Si le régulateur doit affronter le courroux du monde politique, c’est parce qu’il a été informé à plusieurs reprises d’irrégularités dans les comptes de Wirecard et de pratiques douteuses dans son chef. En 2015, déjà, le Financial Times (FT) publie une enquête intitulée « House of Wirecard » dans laquelle le quotidien suggère qu’il existe un trou de 250 millions d’euros dans la comptabilité de la fintech.

Un an plus tard, plusieurs vendeurs à découvert publient une enquête sous le pseudonyme de Zatarra dans laquelle ils accusent Wirecard de procéder à du blanchiment d’argent pour le compte de sites de poker américains. Informée des faits, la BaFin ouvre une enquête pour découvrir qui se cache derrière Zatarra, estimant que ses auteurs tentent de manipuler le marché. 

En janvier 2019, le Financial Times reprend ses investigations sur la fintech. Il découvre que son responsable pour la région Asie-Pacifique a fait usage de faux, blanchi de l’argent et falsifié des comptes. Quand la police de Singapour, où est basé le QG asiatique de Wirecard, perquisitionne les bureaux de l’entreprise, la BaFin réagit en empêchant les ventes à découvert sur l’action Wirecard, soulignant « son importance pour l’économie » et ouvre une enquête contre le FT, qu’elle soupçonne également de manipulation de marché.

Mea culpa

En réponse à une question parlementaire, le ministre allemand des Finances Olaf Scholz a indiqué que la BaFin avait mis plus d’un an pour se pencher sur les manipulations de marché dont était soupçonné Wirecard après le signalement d’un donneur d’alertes.

Le régulateur avait donc été avisé des faits, mais a préféré soit fermer les yeux, soit attaquer ceux qui avaient eu l’outrecuidance de dénoncer les actes frauduleux. Face à un tel constat, plusieurs députés ont demandé la démission du patron de la BaFin, Felix Hufeld.

Après quelques tergiversations, celui-ci a publiquement présenté ses excuses lundi. Il estime que la BaFin fait partie des institutions responsables de ce « désastre complet », en ayant failli à son rôle de supervision. Il s’est engagé à régler les manquements apparus dans le fonctionnement de l’autorité, mais a également tenté de faire porter le chapeau à d’autres, précisant que la direction de Wirecard ainsi que « plusieurs commissaires aux comptes » ont failli dans leurs missions.

Audit défaillant

L’attaque se dirige plus spécifiquement sur EY, l’un des quatre principaux bureaux d’audit et de conseil dans le monde. C’est en effet l’ancienne Ernst & Young qui auditait les comptes de la fintech allemande depuis 2011 et c’est elle qui a refusé ce mois-ci de les valider. 

« Une société cotée en Bourse doit en principe d’abord faire ses comptes en interne, ceux-ci sont ensuite approuvés par le conseil d’administration, avant de faire l’objet de l’analyse d’un réviseur. Ces comptes sont alors transmis avec le rapport du réviseur à l’assemblée générale, qui peut poser des questions avant de les approuver ou de les rejeter », explique Eric Steghers, directeur général de l’Institut des experts-comptables et des conseils fiscaux.

Le rôle du réviseur est ainsi de vérifier les comptes, pas de détecter les fraudes. « Les comptes doivent correspondre à une situation, c’est cela que regarde le réviseur. »

EY a eu le nez plongé dans le bilan de Wirecard pendant neuf ans. Le fait que le géant de l’audit dénonce aujourd’hui une fraude massive dans le chef de son client peut ressembler à une fuite en avant. « L’auditeur a failli, pas parce qu’il n’a pas découvert la fraude, mais parce qu’il est totalement passé à côté de l’essentiel dans les comptes », estime un ancien auditeur qui a passé plus de dix ans dans le secteur.

Image salie

« Plusieurs cas de figure peuvent se présenter, le plus grave étant une collusion entre le cabinet et l’entreprise« , pointe-t-il. Il se pourrait également que le commissaire aux comptes n’ait pas réalisé correctement sa diligence, ou qu’il ait réalisé son travail en toute bonne foi, mais que son client ait réussi à particulièrement bien maquiller sa fraude.

Ce vendredi, le FT révélait que EY n’avait plus demandé d’information à la banque de référence de Wirecard à Singapour depuis trois ans. L’établissement était pourtant supposé conserver un milliard de dollars de liquidités pour le compte de la fintech. Cette procédure de routine aurait permis de déceler la fraude très rapidement.

EY voit son image une nouvelle fois éreintée. Le cabinet, qui déclare poursuivre son travail sans faire de commentaire, traîne déjà quelques casseroles derrière lui. Le régulateur britannique, le Financial Reporting Council (FRC), enquête sur lui dans le cadre de l’affaire NMC Health, un groupe hospitalier parvenu à dissimuler les deux tiers de sa dette et par rapport au dossier de Thomas Cook, le voyagiste tombé en faillite l’année passée. EY est suspecté d’avoir manqué à sa mission dans les deux cas.

Il est encore trop tôt pour évaluer la puissance de l’onde de choc du scandale Wirecard, mais il semble certain que, tant les fintechs, que les régulateurs et les cabinets d’audit ne travailleront désormais plus de la même manière…

OLIVIER SAMOIS 

26 juin 2020 20:37

Enron. Le scandale, il y a 20 ans, était un parfait exemple de la matérialisation d’un énorme risque opérationnel (pour Enron, classé par Fortune le magazine « l’entreprise la plus innovante d’Amérique » entre 1996 et 2000) et du risque de réputation (pour leurs auditeurs, Arthur Andersen & Co., alors l’un des 5 grands cabinets d’experts-comptables), conduisant à l’effondrement des deux sociétés.

S’il est trop tôt pour connaître l’issue exacte de ce qu’on a appelé « l’Enron allemand » Wirecard impliquant, cet article revient sur les premiers indicateurs présentant des similitudes entre les deux scandales.

Wirecard, Enron et panneaux d’avertissement sur deux décennies.

L’auteur George Santayana a écrit: «Ceux qui ne se souviennent pas du passé sont condamnés à le répéter.» Et Mark Twain a écrit: « L’histoire ne se répète pas, mais elle rime souvent ».

Pourrions-nous former un couplet d’Enron pour marquer le début du millénaire et Wirecard pour marquer la fin des années 2010?

Dans l’état actuel des choses, Wirecard s’annonce comme l’une des plus grandes fraudes financières depuis des années, établissant au moins quelques comparaisons avec Enron des décennies passées. Ce sont des industries différentes, bien sûr – Enron a fait sa maison (et sa tombe) dans l’énergie, et Wirecard est un processeur de paiements. Mais malgré les verticales disparates, certains des signes avant-coureurs font écho.

Prix ​​des actions de la fusée? Sûr. Il y a dix ans, les actions Wirecard se négociaient à un faible taux à un chiffre et atteignaient 200 euros en 2018. Les actions d’Enron ont culminé à environ 90 $ à l’été 2000, après avoir commencé l’année à environ 40 $.

L’augmentation rapide des cours des actions laisse présager de l’optimisme que l’horizon (et les bénéfices) restent clairs pour les entreprises.

Les deux entreprises ont promis de transformer leurs industries. Wirecard, axé sur les paiements en ligne, a créé ces dernières années Boon, un système de paiement par application mobile lié à l’Europe, et a proposé WeChat Pay aux marchands européens aussi récemment que cette année. Enron a mis le doigt sur tout, du gaz naturel aux réseaux Internet.

La sonnette d’alarme avait sonné pour les deux entreprises avant que les choses ne se déroulent. Pour Wirecard, les racines d’un examen plus approfondi de ce qui se passait dans les coulisses peuvent être retracées dans un article du Financial Times (FT) du début de 2019 qui disait que la société avait falsifié des documents liés aux activités asiatiques de Wirecard dans le but d’induire les régulateurs en erreur.

Une couverture plus tardive de l’année a indiqué que les résultats des filiales avaient été gonflés. Le New York Times a noté le 26 juin que les services de recherche sur les actions ciblant les vendeurs à découvert (qui parient que les prix vont baisser) signalaient que Wirecard était un «château de cartes».

Puis le ralentissement rapide – et l’insolvabilité. Enron a déposé son bilan en 2001 après que des irrégularités comptables ont fait surface; une grande partie des activités commerciales de la société – comptabilisées en tant que revenus et bénéfices – avait été réalisée par le biais d’entités ad hoc (où elle détenait des participations). Wirecard, selon FT en février 2019, s’était engagé dans un «round trip». Dans le cadre de cette activité, selon le journal, l’argent quitterait la banque de Wirecard détenue en Allemagne, «montrerait son visage au bilan d’une filiale dormante à Hong Kong, partirait pour s’asseoir momentanément dans les livres d’un« client »externe», puis voyagerait retour aux opérations de Wirecard en Inde pour être comptabilisé en tant que revenu.

Plus récemment, Wirecard a déclaré qu’environ 2,1 milliards de dollars de soldes de compte qui ne peuvent pas être retracés « n’existent pas ».

L’histoire a encore des jambes, bien sûr, car ces dernières semaines, la banque centrale des Philippines a déclaré qu’il n’y avait aucun signe que les 2,1 milliards de dollars avaient été déposés en premier lieu. Les banques citées – BDO Unibank Inc. et BPI – avaient été utilisées pour « induire en erreur » les enquêteurs, selon la banque centrale.

Ailleurs, comme l’a noté le New York Times, le fournisseur de recherche indépendant The Analyst, basé à Londres (et où le partenaire fondateur Mark Hiley a qualifié Wirecard de « château de cartes ») a soulevé des questions sur les acquisitions Wirecard d’acquéreurs marchands et sur la performance financière de ces acquisitions.

« Lorsque vous avez examiné les documents financiers des entreprises locales, vous avez pu constater qu’il s’agissait de très petites entreprises, avec des revenus très faibles et une rentabilité limitée », a déclaré Hiley, cité dans le Times. « Nous étions inquiets: pourquoi payaient-ils autant d’argent pour ces petites entreprises à peine rentables? »

Et maintenant, Wirecard a déposé un dossier d’insolvabilité en partie en raison du «surendettement», les prêts d’une valeur cumulée de 1,3 milliard d’euros (1,46 milliard de dollars) venant à échéance le 1er juillet.

À certains égards, au moins dans cette histoire de deux montées et descentes spectaculaires s’étalant sur 2000 et 2020, l’histoire ne s’est peut-être pas répétée, mais elle a certainement des échos familiers.

Même s’ils ne riment pas.

Etablir une cartographie des risques de corruption

Le législateur a adopté des textes ciblant des risques spécifiques : financier et éthiques. Ils ont en commun de conduire les entreprises à mettre en place des plans d’actions de prévention et de renforcer la responsabilité des dirigeants.

La loi Sapin II du 9 décembre 2016 vise à prévenir les risques de blanchiment des capitaux, de financement du terrorisme et de la corruption – la corruption est le fait pour toute personne de solliciter une personne dépositaire de l’autorité publique, moyennant rémunération, un acte relevant de ses fonctions -.

Elle propose six mesures pour cartographier le risque de corruption et le prévenir au niveau organisationnel et individuel. Cette loi n’oblige pas à une communication extérieure spécifique mais elle engage la responsabilité personnelle des dirigeants et celle de la société en tant que personne morale.

Nicolas Dufour et moi-même présentons davantage la loi Sapin II dans notre ouvrage ; voir « La Fonction Risk Manager. Organisation. Méthodes et Positionnement », Ed Gereso, p.50.

L’article ci-dessous réfléchit à la manière de construire une cartographie des risques de corruption.

La démarche est une démarche « classique » de construction d’une cartographie (voir Chapitre 4, Méthodes, démarches et outils des Risk Managers de notre ouvrage, p.127). Les grandes étapes sont :

  • d’identifier les risques, passés, présents et émergents ;
  • d’évaluer le niveau de criticité des risques en tenant compte de leur probabilité de survenance et de leur impact ;
  • de hiérarchiser les risques ;
  • d’identifier les zones de risques insuffisamment couvertes par le dispositif de maîtrise ;
  • de mettre en place des plans d’actions et des outils de reporting.

La démarche présente certaines spécificités propres aux risques de corruption évoqués dans l’article.

Vous y retrouverez également une approche de la gestion des risques et des outils utilisés qui me sont chères et que je développe dans mes travaux (voir Chapitre 2, L’activité des Risk Managers de notre ouvrage, p.94) :

  • la connexion avec les opérationnels et les processus / l’implication de la direction générale / la collaboration avec les autres fonctions pour mettre en place la démarche
  • les ateliers et les entretiens individuels pour identifier et évaluer les risques ;
  • la responsabilisation des acteurs et la proactivité pour les analyser et les suivre.

La gestion des risques et la cartographie et la gestion des risques deviennent ainsi des outils de pilotage – évolutifs et vecteurs d’innovation -.

Etablir la cartographie des risques de corruption : un défi en pratique

« Près de 3 ans après l’entrée en vigueur de la loi Sapin II, bon nombre d’interrogations planent encore quant à la meilleure méthodologie à déployer pour construire une cartographie des risques de corruption. Dans leur chronique, Stéphanie Dominguez, senior manager et Stella Vitchénian, associée global assurance, gestion des risques, contrôle interne et conformité chez KPMG France, nous livrent leur mode d’emploi.

Le sujet de la cartographie des risques reste sensible et l’exercice relativement technique. Si certaines modalités de réalisation sont communes à tous les exercices de cartographie, d’autres relèvent d’un dispositif plus spécifique, propre aux particularités de ce domaine de risques. Pour apporter un éclairage sur la question, il peut être utile de balayer quelques idées reçues.

Gestion des risques et conformité

Il est établi aujourd’hui que réaliser une cartographie des risques de corruption efficace et pertinente est un exercice qui fait appel à deux expertises cumulatives et complémentaires : une expertise de la conformité (ou compliance) d’une part et une expertise méthodologique de la gestion des risques d’autre part. Ceci étant dit, la fonction conformité n’est pas toujours portée par quelqu’un qui possède ces deux expertises. Il est donc courant dans cette situation que les sociétés fassent appel – et c’est une pratique tout à fait légitime – à un soutien externe, nécessaire pour ne pas avoir à réitérer / revisiter l’exercice à courte échéance voire à revoir complètement la méthodologie a posteriori.

Ce que la cartographie n’est pas…

La cartographie des risques de corruption n’est pas un audit et encore moins une investigation, il s’agit d’avoir une image à un instant donné des zones d’exposition potentielles et des risques de corruption susceptibles de survenir au sein de son entreprise.

La cartographie des risques doit intégrer l’ensemble des dimensions des risques de corruption affectant une entité. Pour autant, la cartographie des risques de corruption n’est pas une liste exhaustive de l’ensemble des risques auxquels est exposée une entité. Elle doit être adaptée au contexte de l’entreprise. Elle ne fonctionne pas seule et doit être reliée à la cartographie des risques globaux et opérationnels du groupe pour avoir une vraie cohérence.

Ce dispositif ne doit pas être le fruit d’une réflexion théorique et très chronophage pour les opérationnels, déconnectée des opérations, des processus et de l’environnement de gestion des risques et de contrôle interne de l’entreprise. Elle ne devrait pas non plus être un outil complexe et sophistiqué, ni un instrument destiné exclusivement au management.

Une cartographie pertinente doit au contraire se concevoir pour devenir un outil de pilotage utile à tous et constituer le socle du déploiement du programme de conformité de l’entreprise, et ce de façon différenciée et éclairée dans toutes ses strates. Il doit s’agir d’un outil utile, opérationnel, homogène mais évolutif. Véritable pierre angulaire, elle permettra au responsable de la conformité –  group compliance officer, responsable ou directeur de la conformité ou toute autre personne qui pilote officiellement la fonction conformité au sein de l’entreprise – de responsabiliser les acteurs du dispositif de prévention, de coordonner les actions engagées ou à engager, d’apprécier leur efficacité et leur degré de maîtrise et de suivre le plan de déploiement et d’amélioration continue de son programme de conformité au sein de l’organisation.

Sensibilisation, diplomatie et écoute

La cartographie étant un exercice interne destiné à recenser les risques de l’entreprise et mieux comprendre les ressorts de leur survenance, le responsable de la conformité adaptera, en accord avec sa direction, la méthode employée à la taille, la (les) zone(s) géographique(s) où le groupe opère ou est implanté, la nature des activités exercées ainsi qu’aux caractéristiques des tiers avec lesquels le groupe interagit dans la marche de ses affaires. Il peut choisir de collecter les informations relatives aux facteurs de risques et d’exposition à la corruption au travers d’ateliers, par entretiens individuels ou encore – mais c’est le moins souhaitable si l’analyse se limite à cela – via l’administration de questionnaires d’évaluation, envoyés aux opérationnels et au management.

Chaque technique est acceptable tant qu’elle est adaptée et que la société est capable – lors d’un audit du régulateur et en conformité avec les recommandations de celui-ci – d’expliciter, documenter et justifier de façon rationnelle et suffisamment robuste les choix méthodologiques retenus.

Par exemple, en pratique, effectuer un unique atelier de 2h réunissant une quinzaine de managers et d’opérationnels pour recenser les risques de corruption de l’ensemble de la zone Europe d’un groupe présent dans 17 pays paraîtra certainement insuffisant.

Au contraire, passer en revue un certain nombre d’indicateurs choisis, exogènes et endogènes, pré-identifier les zones, processus et transactions les plus exposés, puis lancer une mission, avec ou sans aide extérieure, d’un mois avec 15 entretiens individuels de 2h chacun sur les 2 sites d’implantation en Inde par exemple afin d’effectuer une cartographie des risques de corruption adaptée au pays pourra constituer un bon niveau de granularité, ou du moins permettre une meilleure appréhension du niveau de risques de corruption par la direction.

Les entretiens, dont il convient de conserver une trace écrite, doivent refléter l’implication de la direction et de ses collaborateurs. Ceux-ci s’efforceront d’examiner lors des entretiens pour chacun des principaux processus métiers les facteurs de risques et les procédures attenantes, les dispositifs de contrôles existants et les axes d’amélioration à mettre en œuvre par la suite. De plus, il est nécessaire de veiller à la cohérence entre le verbatim collecté lors des entretiens et les notations remontées (criticité du risque ou degré de maîtrise des activités de contrôle) afin de garantir le sérieux et l’implication de l’exercice effectué par tous.

Jusqu’où doit-on aller et à quel niveau de granularité doit-on descendre pour examiner les processus visés ? 

A cette question, il n’y a pas de réponse toute faite et préétablie. Le champ de l’examen est à construire avec les personnes interrogées : si l’entretien du directeur des ressources humaines par exemple, fait ressortir des failles dans les procédures de notes de frais, le responsable de la conformité devra s’intéresser plus particulièrement à ces procédures.

Il faut garder à l’esprit que la construction d’un programme de conformité n’est pas une obligation de résultats mais bien une obligation de moyens, encore faut-il que ces moyens soient réellement donnés par la direction.

L’exercice de cartographie : le premier acte fort d’engagement de l’instance dirigeante ! 

En effet, l’engagement de l’instance dirigeante se reflète d’abord et avant tout dans l’efficacité de la méthodologie déployée, les moyens alloués et le niveau élevé des équipes mobilisées pour aider le compliance officer dans cet exercice.

Dans ce projet stratégique et lourd pour la société, l’erreur est admise. Cependant, le fait d’omettre de faire ressortir le risque de corruption dans un pays donné sous prétexte que son plan d’action sera intégré à ceux des autres pays de la zone géographique à laquelle il appartient peut être considérée comme une autre manière de minimiser la perception des risques pour le groupe.

La bonne pratique réside donc très certainement dans le fait de mettre en avant le choix stratégique de la direction de la société : prioriser son implication pour combattre la corruption au sein du groupe et dans ses filiales plutôt que de réaliser l’exercice à l’économie, en sous estimant les risques, notamment à l’international, en ne faisant preuve que d’un effort faible.

Y-a-t-il un pilote dans l’avion ?

On l’a dit, il est attendu que le responsable de la conformité pilote cet exercice crucial de cartographie avec le soutien réel et visible de l’instance dirigeante au siège comme sur les sites français ou étrangers car de cet exercice dépend le plan d’actions du programme de conformité qui sera porté pendant plusieurs années.

Or, le responsable de la conformité ne pilote pas seul, il sera soutenu par le management, la gouvernance de l’entreprise et les acteurs clés de l’environnement de contrôle du groupe : du comité exécutif au conseil d’administration et à ses comités spécialisés tel le comité d’audit, de la direction des ressources humaines au directeur juridique ou financier, de l’audit interne au contrôle interne et au risk manager, l’implication de tous est la condition de la réussite de ce travail d’équipe, qui s’inscrit dans un projet d’amélioration continue du groupe, en accord avec les valeurs du groupe, stratégique et d’avenir si celui-ci veut présenter sa candidature devant un fonds d’investissement par exemple.

En conclusion, une cartographie non validée par la gouvernance est très vraisemblablement un exercice voué à l’échec. Un plan d’actions non suivi par le comité de direction produira un programme de conformité inutile.

Lorsqu’il est construit sur une analyse pertinente des risques et au-delà du seul impératif juridique, un engagement volontaire, proactif peut faire de ce programme de conformité un avantage compétitif, une valeur commerciale, mais aussi un vecteur d’innovation sur le plan des process opérationnels, des organisations, des outils ou du reporting.

Lorsque l’entreprise n’a pas été sanctionnée par une autorité française ou étrangère, c’est pour elle le moment où il est plus facile et stratégique de structurer et de « penser » son programme de conformité de la manière la plus efficace, homogène et en intégrant ses démarches dans l’amélioration continue et globale du groupe. Cette opportunité se fait de plus en plus rare, il ne tient qu’aux sociétés de se lancer aujourd’hui. »

15/06/2020

Les normes ISO font partie de la Soft-Law adoptée par les entreprises pour gérer leurs risques. L’AFNOR présente une norme pour le management des Plans de Continuité d’Activité.

Coronavirus : avez-vous votre plan de continuité d’activité ?

En ce temps de crise sanitaire, les entreprises constatent avec effroi leur impréparation. Anticiper toute perturbation pour y laisser le moins de plumes possible : voilà l’objectif d’un système de management de la continuité d’activité. Et c’est une norme volontaire qui en donne les lignes directrices : ISO 22301. Exceptionnellement, l’AFNOR permet de la consulter gratuitement.  Vous pouvez la consulter gratuitement.

La crise sanitaire que traverse la planète en ce début de printemps 2020 a mis en lumière deux sigles désormais mondialement connus : COVID-19 et FFP2. Le premier désigne le fameux virus ; le second le type de masque censé nous en protéger. Chez AFNOR, on se permettra d’ajouter trois autres sigles qui tombent fort à propos : SMCA, PCA et ISO 22301.

ISO 22301 : le management de la continuité d’activité

Un SMCA, c’est un système de management de la continuité d’activité. Le PCA est son bras armé : le plan de continuité d’activité. Ces deux outils sont décrits dans une norme volontaire internationale : ladite  ISO 22301, dont la dernière version date de novembre 2019 et qu’AFNOR vous propose de consulter gratuitement dans sa boutique en ligne. Pourquoi vous en parler maintenant ? Simplement parce que dans le monde de l’entreprise, il est important d’anticiper une crise, afin de la traverser sans trop de dégâts et de s’en remettre rapidement. « La norme spécifie les exigences pour mettre en œuvre, maintenir et améliorer un système de management afin de se protéger contre les perturbations, réduire la vraisemblance de leur survenance, s’y préparer, y répondre et se rétablir lorsqu’elles se produisent », résume Nicolas Scuto, chef de projet chez AFNOR Normalisation, qui anime le groupe de professionnels ayant mis à jour le document pour la France.

« Inondation, pandémie, coupure du câble télécom dans la rue à cause d’une pelleteuse maladroite… En entreprise, toute perturbation, petite ou grosse, provoque un ralentissement ou une rupture de production, de livraison, de prestation de service, expliquent Yves Mérian et François Tête, membres du Club de la continuité d’activité et contributeurs actifs à la norme, côté français. ll y a dix ans, on attendait six mois, on se faisait indemniser par les assurances et on repartait. Aujourd’hui, ce n’est plus possible. Imaginez des libraires à l’arrêt, qui mettent deux mois à reprendre leur activité : entre temps, le marché sera pris par Amazon et consorts ! » Pratique : le Club de la continuité d’activité met à disposition un guide de mise en place d’un SMCA selon la norme ISO 22301 Guide dans une ETI ou une PME. Vous pouvez aussi vous passer par la case formation : AFNOR Compétences a ouvert une « classe virtuelle » pour apprendre à mettre en place un plan de continuité de l’activité (7 heures, 500 € HT).

ISO 22301 : savoir apprécier les risques et définir les priorités

Dans l’entreprise, il faut désigner un pilote chargé de déployer, suivre et faire évoluer le SMCA. Ce pilote est souvent assisté d’un consultant extérieur, qui aide à sa mise en place. Le SMCA a aussi son référent au Comex. « Cette personne doit bien connaître l’environnement dans lequel l’entreprise évolue, savoir apprécier les risques et avoir le sens des priorités. Elle doit aussi avoir accès à tous les niveaux de l’organigramme, aux fonctions support comme l’informatique et aux services extérieurs comme la médecine du travail. C’est indispensable pour identifier quels sont les postes les plus exposés et les collaborateurs les plus vulnérables, dans le respect du secret médical », soulignent Yves Mérian et François Tête.

A charge, pour elle, de mener sur ces bases un bilan d’impact sur les activités (Business Impact Analysis en anglais, ou BIA). Cet exercice permet de définir des priorités (quel poste, quel équipement, quelle usine mettre à l’arrêt en premier et en dernier recours ?), des délais d’interruption acceptables (plusieurs heures, jours, semaines ?), des effectifs critiques (que faire sans la hotline informatique, sans service courrier ?). S’ensuit plusieurs scénarios qui doivent être finement étudiés : interruption partielle, interruption totale, délocalisation, télétravail généralisé, etc. Et c’est sur ces bases que le fameux PCA, le plan de continuité d’activité, définit les solutions (stratégiques) et mesures (opérationnelles) à mettre en œuvre, en fonction de la situation : plages horaires d’ouverture, modalités de télétravail, roulement d’effectifs, travail dominical, animation de la cellule de crise.

ISO 22301 : amélioration continue et outil de résilience

On le voit, le management de la continuité d’activité touche de près la gestion de crise, elle aussi objet d’une norme volontaire, XP CEN/TS 17091 (août 2019). La cellule de crise choisira les solutions du PCA les plus adaptées, voire en inventera de nouvelles, en toute agilité. Car, il faut bien le reconnaître : « En gestion de crise, on constate souvent que le PCA n’avait pas vu juste pour la crise en question. Car il n’y a pas deux crises qui se ressemblent ! », indiquent Yves Mérian et François Tête, prenant l’exemple de la répartition des masques dans la crise actuelle du coronavirus. C’est pourquoi un SMCA doit se penser en amélioration continue : les leçons d’une crise doivent venir enrichir le plan, pour mieux gérer la crise d’après. C’est le concept de RETEX : le retour d’expérience. »

Bref, la norme ISO 22301 doit figurer au-dessus de la pile au siège de l’entreprise. « Ceux qui l’ont adoptée ne le regrettent pas et se disent mieux armés », conclut François Tête, citant son cas personnel : « Je préside un conseil syndical d’immeuble, et je peux vous dire que cela m’est utile actuellement pour définir quel traitement réserver aux occupants âgés, que faire pour le nettoyage, comment sortir les poubelles… » Une crise fait toujours des dégâts, mais bien gérée, ces dégâts se trouvent minimisés.