Archives pour la catégorie RISQUES

GESTION DE CRISES (1). Contextualisation : gestion de crises et démarche de gestion des risques ; un exemple récent de communication de crise « brouillonne »

Un thème pour les quatre semaines à venir : LA GESTION DE CRISES

Un contenu par semaine.

  • Contextualisation : la gestion de crises et la démarche de gestion des risques ; un exemple récent de communication de crise « brouillonne »
  • Des solutions en trois opus : anticipation et gestion de crises. Retour sur l’anticipation et proposition de plans d’actions (1) ; anticipation et gestion de crises. Retour sur l’anticipation et proposition de plan d’actions (2) ; présentation d’un outil, le RETEX.

Contextualisation : la gestion de crises et la démarche de gestion des risques

Pour moi, la gestion de crises est ce qui arrive une fois que le risque s’est réalisé – une fois qu’il est trop tard pour le RM. Un RM me disait : « pour moi il faut faire très attention, la plupart du temps, la gestion de crise, la communication de crise ne fait pas partie des descriptions de postes, c’est un tout autre métier. La gestion de risques est vraiment la préparation de tout avant, mais lors des événements se sont des spécialistes opérationnels qui prennent le relais, et surtout en communication de crise…»

Pour autant, revenir sur la gestion de crises a sa place dans un ouvrage consacré à la Fonction Risk Manager https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html et dans un blog consacré aux risques, à la gestion des risques et à la Fonction Risk Manager tant les sujets sont proches voire reliés : le risque de réputation est devenu le « cauchemar » des organisations ; les médias sont identifiés comme un des amplificateurs de risques – rôle encore amplifié par les réseaux sociaux -.

Risque de Réputation. Définition

Nicolas Dufour et moi-même reprenons la définition de Rayner (2003) : « toute action, évènement ou circonstance qui pourrait avoir un impact positif ou négatif sur la réputation d’un organisme…ou encore… comme un ensemble de perceptions et opinions présentes ou passées sur un organisme, nichées dans la conscience des parties prenantes. »/ouvrage p.35.

Dans le blog, je reviens en :

  • septembre 2020 sur l’identification du risque de réputation à travers les affaires Nike : « Risque de réputation. Définition, illustration à travers les affaires Nike 1990-2000, 2020. » ;
  • janvier 2020 sur son impact : « What Price Reputation ? Impact d’une dégradation de l’image sur la valorisation boursière. »

Risque de Réputation. Les médias comme amplificateur de risque.

Nous présentons les médias comme un des deux amplificateurs du risque qui a contribué à mettre en place l’image d’un monde plus risqué : « les médias tendent à amplifier la notion de responsabilité du dirigeant en cas de négligence et les logiques de compensation…Ces évolutions rendent les entreprises plus vulnérables et le risque est partout mais ce qu’elles craignent le plus, c’est la perte de réputation. »/ouvrage p.58.

Risque de Réputation. Evolutions : e-réputation ; éthique

Les entreprises doivent de plus en plus compter avec la viralité des réseaux sociaux. Le risque de réputation croise de plus en plus le risque éthique dans sa dimension développement durable et de plus en plus dans sa dimension gouvernance (respect des engagements pris). Elles doivent soigner leur e-réputation. Le risque de réputation est exacerbé. Le rôle des médias et ces évolutions récentes (e-réputation/éthique de l’entreprise) sont très bien illustrés dans l’étude VISIBRAIN dont je vous propose un résumé dans le blog en décembre 2020.

Des exemples de gestion de crises et communications de crise « ratées ». Dans notre ouvrage, je vous propose les exemples de Total Raffinerie de la Mède, AF-KLM, Lidl, Dove, Lactalis ou encore Nike qui comptent parmi les plus médiatiques.

Je vous propose un article de Valéry Rieß-Marchive qui analyse la communication de crises externe confuse après une cyberattaque du groupe Hopps. Bien qu’en interne, l’information ait été honnête et rapide auprès des employés, la communication externe manquait de clarté et surtout de transparence, ce qui a été souligné par les médias et les réseaux sociaux. Un alignement de la communication entre toutes les parties prenantes est important afin de maintenir la confiance de ces dernières.

Un exemple récent de communication de crise « brouillonne »

Cyberattaque : Colis Privé donne l’exemple d’une communication de crise externe brouillonne

La maison-mère de Colis Privé, le groupe Hopps, a été victime d’une cyberattaque fin avril. Mais il s’est montré incapable d’assurer une communication externe juste. Alors qu’en interne, elle semble l’avoir été.

La communication de crise du groupe Hobbs, dont font partie Dispeo, Colis Privé, ou encore Adrexo, pourrait bien rester dans les annales comme illustration de ce qu’il ne faut pas faire vis-à-vis du public et de ses clients finaux, lorsque l’on est confronté à une cyberattaque.

L’information a commencé à filtrer le 25 avril, par le biais du syndicat C.A.T. d’Adrexo. À cette date, celui-ci évoquait sur son blog un « incident informatique » : « le réseau informatique de l’entreprise connaît des difficultés » ; « une partie des services informatiques sont actuellement à l’arrêt suite à un incident ». Le lendemain, les choses gagnent un peu en clarté : « informatique à l’arrêt ; cyberattaque confirmée », apprend-on… toujours du syndicat C.A.T. d’Adrexo. Ce dernier « félicit[e] la transparence dont l’entreprise a fait preuve dès ce matin, car nous pensons qu’il est prudent d’anticiper toutes les conséquences pratiques dès aujourd’hui ».

En interne, la communication trouve donc un écho positif. Mais à l’extérieur, la situation est toute autre. Sur Twitter, le message officiel est bien différent. Là, le 26 avril au matin, Colis Privé ne parle que d’un « incident technique » à la suite duquel « vous ne pouvez pas vous connecter sur le suivi de votre colis. Veuillez nous excuser de la gêne occasionnée ». Il faudra attendre le 29 avril, vers midi et demi, pour que le message change : « Colis Privé a été victime d’une cyberattaque ».

https://cdn.ttgtmedia.com/rms/LeMagIT/colis-prive-0426_half_column_mobile.png

La communication extérieure officielle est à ce stade formalisée et répétée à l’envie : la cyberattaque « a été très rapidement contenue » ; « nos équipes et des experts externes travaillent ardemment à la résolution de cet incident ». Le lendemain, nos confrères de L’Usine Digitale n’ont rien de plus à se mettre sous la dent. Sur ses pages Facebook et LinkedIn, ou sur l’espace presse du groupe Hopps : rien ; silence complet sur l’incident.

Entre-temps, les critiques fusent depuis le 26 avril contre un Colis Privé muré dans le mutisme. L’annonce de la cyberattaque est même accueillie par certains consommateurs avec un doute non dissimulé. Et ce n’est guère une surprise. Car le groupe Hopps a commencé par chercher à minimiser la gravité de la situation, auprès du public, probablement en s’imaginant rassurer. Mais sans y parvenir. Ce faisant, il a semé le discrédit sur sa communication publique. D’où la défiance à son égard lorsqu’il a enfin reconnu la cyberattaque.

Mais là encore, le groupe s’évertue à minimiser la gravité de la situation, assurant que l’attaque « a été rapidement contenue » et parlant d’un incident « qui a pu occasionner quelques dysfonctionnements ». Pourquoi est-ce que cela ne passe pas ?

Notamment parce que côté syndicat, le message véhiculé le 26 avril ne laissait pas entrevoir un incident « rapidement contenu » : « pour Adrexo, les badgeuses ne fonctionnent pas, mais il en est de même pour l’ensemble des services informatiques sauf les messageries ». Qui plus est, « les routeurs ayant été débranchés dans les agences à la demande des services centraux, le réseau téléphonique filaire est également souvent à l’arrêt. Ceci veut aussi dire que l’entreprise ne peut plus facturer, gérer sa comptabilité ou éditer sa paie à ce jour ». Le 28 avril, le syndicat C.A.T. d’Adrexo expliquait que l’informatique du groupe était encore à l’arrêt et que la paie… serait assurée manuellement.

https://cdn.ttgtmedia.com/rms/LeMagIT/colis-prive-0430_half_column_mobile.png

Ironie de la situation, en interne, selon un e-mail partagé par la CGT, la direction affirmait, le 27 avril, souhaiter « donner un maximum de visibilité quant aux actions en cours ». Le message est d’ailleurs détaillé et plutôt transparent, donnant aux équipes une vraie visibilité sur la feuille de route des équipes impliquées dans la réponse à incident.

Ce courriel est intéressant à un autre titre. Là, pas question de minimiser la gravité de la situation. Même si l’on retrouve la tentation classique de jouer la surenchère quant à la sophistication de l’agresseur : « nous avions jusqu’ici réussi à contrer les attaques dont nous avions pu faire l’objet ; il s’avère que celle que nous venons de subir est l’une des plus virulentes au niveau mondial ».

Le vendredi 30 avril au matin, si les consommateurs affectés n’ont toujours qu’une information en peau de chagrin, en interne, la transparence est encore de mise, avec la perspective d’une « reprise progressive des fonctions principales, essentielles à notre activité, à partir de mardi prochain [4 mai, donc, N.D.L.R.], et ce pour toutes les filiales du groupe ».

Mais attention : « le rétablissement intégral de nos solutions informatiques et la mise en place de nouveaux process organisationnels prendront du temps, et nous savons que les conséquences de cette cyberattaque pourront être longues à être entièrement absorbées ». Ce qui ne va pas sans contraster quelque peu avec le triomphalisme affiché au paragraphe précédent : « à l’échelle de l’attaque que nous avons subie, le délai de résolution de cet incident est un exploit ».

Quiconque a suivi, même de loin, les cyberattaques récentes mesure à quel point l’expérience peut être traumatisante… et qu’il est illusoire d’espérer retrouver des conditions opérationnelles normales en l’espace de seulement quelques jours. Mais à défaut de rassurer, les efforts de minimisation de la sévérité de la situation donnent donc l’image d’une communication externe brouillonne et d’un manque de préparation.

Bien loin, donc, d’une communication de crise comme celle d’un OVHcloud, par exemple, dont le PDG a su se montrer pleinement mobilisé, dans la durée, après l’incendie de l’un de ses centres de calcul. Ce qui apparaît d’autant plus regrettable, pour le groupe Hopps, qu’en interne, la communication apparaît bien plus réussie.

Valéry Rieß-Marchive. Mai 2021

Télétravail, risques et plans d’actions ou quels plans d’actions pour gérer les risques liés au télétravail et selon quelle approche ? (2)

✴ Une gestion des risques technique et socio-cognitive.

Je reviens avec l’extrait ci-dessous d’une chronique d’Olivier Cimelière sur l’idée que les risques psycho-sociaux liés au télétravail comme tous les risques ne sont pas seulement un « problème » technique mais également un « problème » de facteur humain.

Le deuxième article ciblé sur la cyber-malveillance (surexposition au risque) présenté par Caroline Diard –  enseignant-chercheur en management des RH et Droit, ESC Amiens – comme l’un des risques liés au télétravail propose 12 recommandations de sécurité pour prévenir ce risque. Dix sont techniques. Deux sont socio-cognitives.

Une approche à la fois technique et socio-cognitive pour passer d’une logique de contrôle à une logique de soutien rejoint la mise en place du « risk management intelligent » préconisés par Power (2004, 2007, 2009, 2016). Cette approche permet d’émanciper les managers du déploiement d’informations sous la forme « d’outils formalisés, normés… » qu’il décrit comme une « addition de couches de pseudo confort donnant une illusion de confort. » (p.66 Aubry C., Dufour N., La Fonction Risk Manager).

✴ Quelles sont les grandes lignes et les outils pour que les risk-managers français mettent en place le « risk management intelligent » préconisé par Power ?

La mise en place d’outils hors contrôle tels que le e-learning, le retour d’expérience, les formations, la responsabilité des opérationnels, l’appropriation des outils…permettent d’avoir l’appui des opérationnels et d’acquérir une légitimité cognitive (celle qui consiste à s’ancrer dans l’inconscient collectif pour être compris par les parties prenantes, devenir incontournable) ; elle est le « graal » de la légitimité.

✴ Nous évoquons cette approche technique et socio-cognitive et ces outils dans nos travaux (Aubry et Montalan, 2007) et dans l’ouvrage « La Fonction Risk Manager. Organisation, méthodes et positionnement (2019, p.96) »

https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

✴ Sur le blog, vous pouvez lire ou relire sur cette approche :
  • l’article « Yves Rocher et les NeuroSciences ». Archives du blog mai 2020
  • l’article relatif à L’Organisation Apprenante. Archives du blog décembre 2020.

Télétravail et déconfinement : l’humain reste le pivot essentiel

Télétravail n’est pas martingale managériale

C’est un fait que le coronavirus aura contribué à plus nettement matérialiser le recours au télétravail. Les mentalités à l’égard de celui-ci évoluent. Du côté des dirigeants, il n’est plus forcément perçu comme une subtile excuse pour tirer au flanc, d’autant que le présentéisme au bureau engendre aussi bien des excès. Du côté des collaborateurs, il est synonyme d’un équilibre de vie plus flexible, entre obligations professionnelles et tâches domestiques, tout en ayant un cadre de travail délibérément choisi plutôt qu’un flex office impersonnel ou un open space plein de vacarme. Pour autant, le travail à distance n’est pas une martingale managériale. Si le dirigeant y consent, il doit aussi impulser les conditions de son efficience collective.

La première étape, basique mais incontournable (et déjà source de bougonneries), est le matériel du collaborateur. Autant au bureau, il est relativement simple de disposer d’infrastructures et de terminaux performants, autant la distance implique des obligations très concrètes à traiter. L’enquête de Deskeo le rappelle. 78% des personnes interrogées ne possèdent pas les équipements adéquats comme l’imprimante ou l’écran ergonomique. 66% doivent aussi se débattre avec un débit Internet parfois capricieux.

Collaboration et sécurité avant tout

Deux autres dimensions sont absolument cruciales : le choix d’un outil collaboratif qui conviendra à la majorité des salariés en télétravail et la garantie de la cybersécurité des échanges . Travailler à distance ne signifie pas travailler en silo, mais être au contraire capable de se synchroniser avec ses collègues et suivre les avancées d’un projet. Sur le marché, il existe quantité de solutions éprouvées mais attention à tenir compte de la maturité digitale des personnes. Un outil trop complexe à manier peut dérouter.

Enfin, la sécurisation est indispensable. A cet égard, l’engouement pour Zoom, la solution de visioconférence, a mis en exergue les failles de sécurité qui allaient de pair avec des intrusions ou des vols de données. Conséquence : tout le monde dans l’entreprise doit être extrêmement au clair et au carré avec ces points fondamentaux. Sans oublier évidemment le respect de la loi applicable en la matière.

La com’ interne comme lien essentiel

L’autre challenge induit par le télétravail, quelquefois largement sous-estimé par les adeptes fraîchement convertis, est la préservation du lien humain et de la culture d’entreprise. C’est là où la communication interne a un rôle clé à jouer pour éviter qu’au fil du temps, les interactions ne se réduisent qu’à des chats sur la messagerie interne et quelques séances collectives en visio pour entretenir a minima l’esprit d’équipe et le sentiment d’appartenance à la communauté qu’est l’entreprise.

Plus que jamais, des espaces fédérateurs doivent être mis en place et animés régulièrement comme l’Intranet – mais pas que – qui peut ainsi distiller des témoignages terrain, partager des bonnes pratiques, présenter des métiers et même offrir des canaux de détente comme des mini-compétitions de jeux en ligne ou des forums de discussion thématiques.

Avec le travail à distance, il ne faut pas perdre de vue que la précieuse machine à café n’est plus totalement en mesure d’être cet indispensable lieu de brassage du corps social de l’entreprise. La virtualisation des discussions peut aider à décloisonner mais elle peut aussi dématérialiser l’essence même d’une organisation humaine. C’est sans doute un paradoxe mais le télétravail requiert aussi de la proximité physique régulière. Là aussi, les possibilités sont variées : réunions sur un lieu unique, séminaires, team building, repas en commun, etc. Sinon, trop de distance tue la quintessence de l’entreprise.

Olivier Cimelière est directeur adjoint ESJ Pro Entreprise. Mai 2021

Recommandations de sécurité informatique pour le télétravail en situation de crise

En complément des mesures générales de vigilance cybersécurité publiées sur la crise du CORONAVIRUS – COVID-19, cet article décrit les conseils de Cybermalveillance.gouv.fr pour les employeurs afin de limiter les risques de sécurité informatique liés au télétravail.

12 recommandations de sécurité liées au télétravail pour les employeurs

Pour faire face à la crise et au confinement imposé par l’épidémie du CORONAVIRUS – COVID-19 les employeurs, entreprises, associations, administrations, collectivités se sont vues devoir mettre en place ou développer dans l’urgence le télétravail pour maintenir, au moins a minima,  leurs activités essentielles. L’ouverture vers l’extérieur du système d’information de l’entreprise peut engendrer des risques sérieux de sécurité qui pourraient mettre à mal l’entreprise, voire engager sa survie en cas de cyberattaque.
Voici 12 recommandations à mettre en œuvre pour limiter au mieux les risques :

  1. Définissez et mettez en œuvre une politique d’équipement des télétravailleurs : Privilégiez autant que possible pour le télétravail l’utilisation de moyens mis à disposition, sécurisés et maîtrisés par l’entreprise. Lorsque ce n’est pas possible, donnez des directives d’utilisation et de sécurisation claires aux employés en ayant conscience que leurs équipements personnels ne pourront jamais avoir un niveau de sécurité vérifiable (voire sont peut-être déjà compromis par leur usage personnel).

  2. Maîtrisez vos accès extérieurs : Limitez l’ouverture de vos accès extérieurs ou distants (RDP) aux seules personnes et services indispensables, et filtrer strictement ces accès sur votre pare-feu. Cloisonnez les systèmes pour lesquels un accès à distance n’est pas nécessaire pour les préserver, surtout s’ils revêtent un caractère sensible pour l’activité de l’entreprise.

  3. Sécurisez vos accès extérieurs : Systématisez les connexions sécurisées à vos infrastructures par l’emploi d’un « VPN » (Virtual Private Network ou « réseau privé virtuel » en français). Outre le chiffrement de vos connexions extérieures, ces dispositifs permettent également de renforcer la sécurité de vos accès distants en les limitant aux seuls équipements authentifiés. La mise en place sur ces connexions VPN d’une double authentification sera également à privilégier pour se prémunir de toute usurpation.

  4. Renforcez votre politique de gestion des mots de passe : Qu’il s’agisse des mots de passe des utilisateurs en télétravail, mais aussi de ceux en charge du support informatique, les mots de passe doivent être suffisamment longs, complexes et uniques sur chaque équipement ou service utilisé. La majorité des attaques est due à des mots de passe trop simples ou réutilisés. Au moindre doute ou même en prévention, changez-les et activez la double authentification chaque fois que cela est possible. En savoir plus.

  5. Ayez une politique stricte de déploiement des mises à jour de sécurité : Et ce, dès qu’elles sont disponibles et sur tous les équipements accessibles de votre système d’information (postes nomades, de bureau, tablettes, smartphones, serveurs, équipements réseaux ou de sécurité…) car les cybercriminels mettent peu de temps à exploiter les failles lorsqu’ils en ont connaissance. Un défaut de mise à jour d’un équipement est souvent la cause d’une intrusion dans le réseau des entreprises. En savoir plus.

  6. Durcissez la sauvegarde de vos données et activités : Les sauvegardes seront parfois le seul moyen pour l’entreprise de recouvrer ses données suite à une cyberattaque. Les sauvegardes doivent être réalisées et testées régulièrement pour s’assurer qu’elles fonctionnent. Des sauvegardes déconnectées sont souvent indispensables pour faire face à une attaque destructrice par rançongiciel (ransomware). En outre, il convient également de s’assurer du niveau de sauvegarde de ses hébergements externes (cloud, site Internet d’entreprise, service de messagerie…) pour s’assurer que le service souscrit est bien en adéquation avec les risques encourus par l’entreprise. En savoir plus.

  7. Utilisez des solutions antivirales professionnelles : Les solutions antivirales professionnelles permettent de protéger les entreprises de la plupart des attaques virales connues, mais également parfois des messages d’hameçonnage (phishing), voire de certains rançongiciels (ransomware). Utiliser des solutions différentes pour la protection des infrastructures et pour les terminaux peut s’avérer très complémentaire et donc démultiplier l’efficacité de la protection dans un principe de défense en profondeur.

  8. Mettez en place une journalisation de l’activité de tous vos équipements d’infrastructure : Ayez une journalisation systématique et d’une durée de rétention suffisamment longue de tous les accès et activités de vos équipements d’infrastructure (serveurs, pare-feu, proxy…), voire des postes de travail. Cette journalisation sera souvent le seul moyen de pouvoir comprendre comment a pu se produire une cyberattaque et donc de pouvoir y remédier, ainsi que d’évaluer l’étendue de l’attaque.

  9. Supervisez l’activité de vos accès externes et systèmes sensibles : Cette supervision doit vous permettre de pouvoir détecter toute activité anormale qui pourrait être le signe d’une cyberattaque, tels une connexion suspecte d’un utilisateur inconnu, ou d’un utilisateur connu en dehors de ses horaires habituels, ou encore un volume inhabituel de téléchargement d’informations…

  10. Sensibilisez et apportez un soutien réactif à vos collaborateurs en télétravail : Donnez aux télétravailleurs des consignes claires sur ce qu’ils peuvent faire ou ne pas faire et sensibilisez les aux risques de sécurité liés au télétravail. Cela doit se faire avec pédagogie pour vous assurer de leur adhésion et donc de l’efficacité des consignes. Les utilisateurs sont souvent le premier rempart pour éviter, voire détecter les cyberattaques. Utilisez au besoin nos supports et notre kit de sensibilisation ou encore les recommandations aux télétravailleurs décrites supra. Ces utilisateurs coupés de leur entreprise ont également besoin d’un soutien de qualité et réactif pour éviter toute dérive.

  11. Préparez-vous à affronter une cyberattaque : L’actualité démontre qu’aucune organisation, quelle que soit sa taille, n’est à l’abri d’une cyberattaque. Il faut donc admettre que cela n’arrive pas qu’aux autres. La question n’est donc plus de savoir si on va être victime d’une cyberattaque, mais quand on le sera. Il faut donc s’y préparer. L’évaluation des scénarios d’attaques possibles (cf. menaces supra) permet d’anticiper les mesures à prendre pour s’en protéger et de définir également la conduite à tenir pour réagir quand elle surviendra : plans de crise et de communication, contractualisation avec des prestataires spécialisés pour recourir à leur assistance…

  12. Dirigeants : impliquez-vous et montrez l’exemple ! La sécurité est toujours une contrainte qu’il faut accepter à la mesure des enjeux qui peuvent s’avérer vitaux pour les entreprises. L’implication et l’adhésion des dirigeants aux mesures de sécurité est indispensable, tout comme leur comportement qui doit se vouloir exemplaire afin de s’assurer de l’adhésion des collaborateurs.

Cybermalveillance.gouv.fr

QUELS PLANS D’ACTIONS POUR GERER LES RISQUES LIES AU TELETRAVAIL ET SELON QUELLE APPROCHE ?

L’identification des risques liés au télétravail (étape 2 de la démarche de gestion des risques que je présente dans mes travaux) et leur mesure (probabilité/impact) (étape 3) permettent aux RM de les placer dans la cartographie des risques.

Voyons maintenant comment les gérer ?

Une grille de lecture / un article

👉 La mise en place de plans d’actions relève de l’étape 4 de la démarche de la gestion des risques.

En résumé, à quoi correspond-elle ?

Elle consiste à analyser les systèmes de contrôle interne : existe-t-il des dispositifs de contrôle ? De quels types sont-ils (procédures, chartes, formations, responsabilisation, assurances) ? Sont-ils efficaces, pertinents, fiables ?

Les conclusions quant à ces dispositifs de contrôle du risque permettent à l’entreprise de définir un ou des plans d’actions (bénéfice/ressources à investir) destinés à améliorer la couverture des risques majeurs (action sur l’impact et/ou la probabilité).

Les plans d’actions sont diffusés via la responsabilisation et la mise en réseau. En face de chaque risque majeur est positionné un responsable chargé d’un plan d’actions (également appelé le « propriétaire » du risque) : un réseau  de responsabilité est ainsi mis en place. Pour chaque famille de risques, des experts sont choisis pour aider ces « propriétaires » de risque : un réseau de soutien est mis en place. Un comité de risques central chapeaute ces deux réseaux.

Ces outils donnent à la démarche de gestion des risques son caractère dynamique.

👉 Des accords d’entreprise sont un plan d’actions pour prévenir les risques liés au télétravail.

Dans le cadre de leurs recherches, Caroline Diard et Nicolas Dufour (mon co-auteur pour l’ouvrage « La Fonction Risk Manager. Organisation, Méthodes et Positionnement » https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html) ont mesuré l’efficacité d’accords d’entreprise dans cinq grandes banques contre trois types de risques liés au télétravail : la surconnexion, la surcharge de travail, et une mauvaise articulation entre le contrôle et l’autonomie du télétravailleur.

👉 Une gestion des risques technique et socio-cognitive. D’une logique de contrôle à une logique de soutien.

A côté de la formalisation comme moyen de prévenir les risques, ils évoquent d’autres moyens tels que l’évolution des modes managériaux, l’autonomie, la co-construction de nouvelles normes, l’autodiscipline, les bonnes pratiques.

Les risques psycho-sociaux liés au télétravail comme tous les risques ne sont pas seulement un « problème » technique mais également un « problème » de facteur humain.

C’est une idée qui m’est chère et qui ressort des entretiens que j’ai pu mener avec des RM : la gestion des risques doit être à la fois technique et socio-cognitive, passer d’une logique de contrôle à une logique de soutien.

Elle rejoint la mise en place du « risk management intelligent» préconisés par Power (2004, 2007, 2009, 2016). Dans un article, j’écris : « Préférer une logique de soutien à la logique de contrôle qui prévaut à la mise en place de la gestion des risques transformerait la Fonction Risk Manager en instrument de légitimité cognitive. L’accès des RM au terrain serait facilité ; les obstacles associés à la logique de contrôle (manque de communication interne en direction des opérationnels, méfiance vis-à-vis des opérationnels, manque de motivation, de disponibilité et inertie des opérationnels, poids de la sanction venant de la direction) seraient allégés. Cette première dynamique passe par la mise en place d’une approche globale technique et socio-cognitive (Chautru, 2008 ; Aubry et Montalan, 2007). »

👉 A lire

Dans les banques, les accords d’entreprise limitent en partie les risques liés au télétravail

« En 2019, une étude de l’Association nationale des directeurs des ressources humaines (ANDRH) montrait que, dans la majorité des cas, le recours au télétravail était formalisé soit par un accord de groupe ou d’entreprise, soit par une charte d’employeur. Parmi ces sociétés, on retrouve de nombreuses banques, l’un des secteurs où cette pratique se concentre particulièrement.

Dans le cadre de nos recherches (menées fin 2019), nous avons évalué l’efficacité de tels accords dans 5 grandes banques contre trois types de risques liés au télétravail : la surconnexion, la surcharge de travail, et une mauvaise articulation entre le contrôle et l’autonomie du télétravailleur. Il ressort de notre étude, publiée dans la Revue de l’organisation responsable, que les accords d’entreprise permettent effectivement de réduire les deux premiers types de risques, mais leur portée reste limitée pour gérer le troisième enjeu.

Une surcharge de travail limitée

En ce qui concerne le droit à la déconnexion, les accords d’entreprise reprennent les dispositifs introduits dans le Code du travail en 2017. La possibilité d’être connecté 24 heures sur 24 rend en effet le télétravailleur disponible et induit parfois une situation de connexion subie. L’organisation doit donc anticiper la perméabilité de la frontière entre vie privée et professionnelle.

Dans l’une des banques étudiées, l’accord prévoit explicitement que :

« Aucun courriel ne sera adressé avant 8 h le matin et après 19 h 30 le soir ; aucun courriel ne sera adressé durant les week-ends et jours fériés sauf en cas de manifestations commerciales de type foires et salons auxquelles participerait le salarié nomade ».

Même si certains salariés reconnaissent des « difficultés à déconnecter » ou encore « consulter souvent les messages via le smartphone », ils déclarent globalement respecter la séparation vie privée – vie professionnelle, évoquant notamment l’efficacité en ce sens d’un cadrage lié à une connexion à distance qui s’interrompt par module de 4 heures.

Pour ce qui est de la charge du travail du salarié, en pratique, la mise en place du télétravail ne devrait pas avoir d’effet. Dans le cas des banques étudiées, le respect des horaires semble être prévu par les accords et les directions s’attachent à respecter la loi.

Or, nos observations terrain, comme d’autres travaux de recherche, révèlent une tendance à l’augmentation de la charge de travail lorsque celui-ci est réalisé à distance. Il semble s’agir d’initiatives des salariés qui témoignent avoir des difficultés à « poser des limites », comme l’un d’entre eux nous l’a confié.

Les accords permettent toutefois de contenir le phénomène. Dans une caisse régionale étudiée, la règle selon laquelle le télétravailleur doit rester joignable aux horaires habituels de l’équipe, ou encore la définition stricte des horaires « 8h30 – 12h30/13h30 – 18 h », constituent par exemple des mesures appréciées de certains, qui se disent même « plus performants ». La limitation à un jour de télétravail par semaine permet en outre de laisser la charge de travail quasi inchangée.

Du contrôle à l’« autocontrôle »

Lorsqu’on l’interroge sur une éventuelle surcharge de travail, un répondant reconnaît l’apparition d’une plus grande amplitude horaire, mais aussi d’« une souplesse appréciable ». Ce témoignage illustre bien la nécessité d’un management différent du travail à distance, qui doit prendre en compte les bouleversements en termes de contrôle, d’autonomie et de confiance dans l’organisation. D’autant plus que l’autonomie gagnée rend le collaborateur redevable, parfois tenté de prouver son engagement et sa loyauté.

Dans une situation de télétravail, le collaborateur doit en effet s’adapter à des situations inédites, en l’absence de manager, définissant alors par lui-même un mode de fonctionnement. De son côté, le manager peut être tenté de recourir au contrôle technologique du travail effectué, ce qui peut donner lieu à certaines dérives.

Dans tous les accords étudiés, signés au sein de 5 banques, l’accès au télétravail est fondé sur la capacité du salarié à travailler en autonomie et à distance, et concerne les collaborateurs ne nécessitant pas de soutien managérial physique rapproché. L’accord d’une banque précise par exemple que :

« Une autonomie d’organisation du temps de travail est reconnue aux salariés nomades ».

D’autres accords prévoient une commission de suivi ou définissent encore le cadre hebdomadaire, par exemple « à raison d’un jour par semaine, fixé en concertation avec le manager ».

En revanche, la notion de contrôle n’apparaît pas systématiquement. Aucun des collaborateurs ou managers interrogés dans l’étude n’a évoqué de mise en place de logiciel spécifique de surveillance. Tous les managers disent accorder toute leur confiance aux collaborateurs. Ils n’ont pas la sensation de suivre de façon particulièrement étroite les télétravailleurs.

Cependant, le reporting est systématiquement évoqué, à l’image du témoignage de cet interviewé :

« Je contrôle au moins une fois par mois qu’elle réponde au téléphone le jour du télétravail, je regarde de temps en temps s’il est connecté et je lui demande un reporting le soir ».

L’autonomie et la délégation peuvent donc devenir un moyen de transférer la responsabilité des objectifs sur les collaborateurs. Autrement dit, une forme d’« autocontrôle » succède au contrôle qui repose désormais sur une auto-évaluation davantage que sur un lien hiérarchique entre manager et managé.

Autrement dit, la perception mouvante d’autonomie et de contrôle dépend autant de la relation managériale que de l’application de l’accord d’entreprise. Sur les risques liés à ce bouleversement dans le lien hiérarchique, l’accord d’entreprise – dans les banques mais sans doute également dans d’autres secteurs tertiaires – semble donc une réponse plus incomplète qu’il ne peut l’être concernant la surconnexion ou la surcharge de travail.

Dans un récent article publié dans The Conversation, nous avions d’ailleurs plus largement regretté l’absence de prise en compte de ces risques dans l’Accord national interprofessionnel (ANI) « pour une mise en œuvre réussie du télétravail » conclu par les partenaires sociaux, le 26 novembre 2020. C’est donc probablement sur ce point-là que les négociations, à tous les échelons et dans bon nombre de secteurs, devraient évoluer ces prochaines années. »

Caroline Diard Enseignant-chercheur en management des RH et Droit, ESC Amiens.

Nicolas Dufour Professeur affilié, PSB Paris School of Business – UGEI.

Mai 2021

TELETRAVAIL ET RISQUES (2)

ILLUSTRATION 2 / TELETRAVAIL ET HARCELEMENT MANAGERIAL

Pour continuer l’illustration d’un deuxième risque lié au télétravail non encadré, je vous propose une analyse intéressante de Caroline Diard concernant le harcèlement managérial vu sous l’angle du risque et de sa nécessaire gestion.

📌 Cet article donne les éléments pour identifier ce risque de manière structurée en permettant :

  • de le rattacher à une typologie ; il s’agit d’un RISQUE TRANSVERSE-RESSOURCES HUMAINES – Santé Sécurité Risque Sanitaire / Psychosociaux
  • de lister ses causes (pourquoi survient-il ?)
  • de lister ses conséquences (quels impacts ?)

Cette identification du risque constitue l’étape 2 de la démarche de gestion des risques.

📌 Cet article met également en évidence le cadre juridique qui l’accompagne ; celui-ci a joué-joue-jouera un rôle d’amplificateur.

Rappel : qu’est-ce qu’un amplificateur de Risques ?

Comme le suggère le concept d’amplification sociale du risque, des facteurs sociaux, institutionnels et psychologiques influencent les perceptions du risque et les comportements à travers un réseau de canaux de communication qui les structurent et les transmettent socialement (Kaperson et al, 1988) ; les risques sont amplifiés et instrumentalisés par des institutions telles que le régulateur-législateur et les médias (Pidgeon et al, 2003).

Le rôle du régulateur-législateur a commencé en France avec la Loi de Sécurité Financière. L’analyse de la période 2008-2018 conduit à constater un renforcement institutionnel de l’obligation de prudence et de vérification. Sur fond de scandales et de crise, les interventions du régulateur-législateur amènent les entreprises à renforcer les systèmes de contrôle interne et de gestion des risques : loi du 3 juillet 2008, ordonnance du 8 décembre 2008 ; rapport du 8 décembre 2009 de l’AMF ; loi Sapin II du 9 décembre 2016…

📌 Pour approfondir les « classes » de risques, l’étape 2 d’identification, les étapes de la démarche de gestion des risques et le régulateur-législateur comme amplificateur de risques, voir « La Fonction Risk Manager. Organisation, Méthodes et Positionnement. » Editions Gereso. C.Aubry et N.Dufour.

https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

Télétravail et harcèlement managérial : une situation dangereuse

Durant la pandémie de Covid-19, les entreprises ont eu massivement recours au télétravail. La distanciation du collectif au travail n’écarte pas le risque de harcèlement moral par le manager. Au titre de l’obligation générale de sécurité, l’employeur doit rester vigilant.

Pendant le confinement, 95% des organisations ont eu recours au télétravail pour les collaborateurs éligibles (enquête flash ANDRH, avril 2020). Le télétravail a été imposé à un quart de la population active pendant la période de confinement. En Ile-de-France, 41% des salariés ont été concernés (sondage Odoxa du 9 avril 2020).

Il s’agit d’une forme de télétravail contraint, à temps plein. C’est une situation inédite qui a révélé l’agilité des entreprises et la capacité d’adaptation des salariés. A la sortie du confinement 64 % des salariés ont affirmé vouloir continuer à travailler à distance.

Même les secteurs habituellement moins ouverts au travail à distance vont poursuivre l’expérience. C’est le cas du constructeur automobile PSA.

Cet engouement pour le télétravail lié à un contexte d’urgence sanitaire ne doit pas cependant faire oublier les risques liés à cette forme d’organisation du travail.

La vigilance du manager est donc impérative pour éviter l’isolement, la porosité de la frontière vie privée-vie professionnelle, la surcharge de travail et l’hyper-connectivité.

L’employeur devra être particulièrement vigilant dans le cadre de son obligation générale de sécurité (articles L4121-1 et L4121-2 du Code du travail).

Le risque de harcèlement moral par le manager

Un des risques identifiables est celui lié à la pression inhabituelle exercée par les managers. La distanciation du collectif de travail peut contribuer à isoler le télétravailleur qui sera parfois dans l’incapacité de refuser les sollicitations répétées et insistantes du manager, des nouvelles tâches, une surcharge de travail.

Le harcèlement moral par le manager est donc un risque qui peut ne pas avoir été anticipé.

De nombreux contentieux pourraient naître. Une décision récente de la Cour de cassation nous interpelle à ce sujet. En effet, dans un arrêt du 19 février 2019 (n°18-83268), la chambre criminelle de la Cour de cassation a cassé une décision de relaxe du chef de harcèlement moral, en date du 25 janvier 2018 aux motifs que les juges du fond n’avaient pas répondu aux arguments de la salariée victime de ce harcèlement allégué, dont celui consistant à soutenir qu’elle « avait été isolée des autres salariés en raison de la demande de son employeur de travailler chez elle en télétravail, en contradiction avec sa fiche de poste ».

Si le salarié en télétravail est victime de l’un ou plusieurs des agissements constitutifs de harcèlement moral, il pourra saisir le Conseil de prud’hommes et invoquer une situation de harcèlement moral afin de se voir octroyer des dommages-intérêts en réparation du préjudice qu’il a subi.

Des dérives amplifiées par le télétravail

Le salarié en télétravail ne devra donc pas être volontairement isolé ou mis à l’écart, devra  toujours se voir fournir du travail, pouvoir être en lien avec sa hiérarchie, bénéficier du soutien nécessaire à l’accomplissement de ses missions, ne pas être surchargé et ne pas être incité à une hyper-connectivité. En effet, de telles conditions de travail pourraient laisser supposer une forme de harcèlement managérial. Le profil de certains managers peut conduire à des dérives.  Les pervers narcissiques auxquels dès 1998, Marie-France Hirigoyen faisait référence (« Le harcèlement moral. La violence perverse au quotidien ») pourraient user de manœuvre pour conserver leur pouvoir, leur poste et masquer ses incompétences pendant cette période de travail à distance. Le manager harceleur et pervers narcissique met en place des mécanismes divers :

  • culpabilisation,
  • critique et dévalorisation,
  • report de sa responsabilité sur ses collaborateurs,
  • communication floue,
  • changement fréquent d’opinions,
  • mensonges

En cas de télétravail, les possibilités de déviance sont amplifiées. L’impossibilité d’échanger en face à face, la distance avec les collègues et le n+2 pourraient contribuer au développement de pratiques perverse de management.

L’article L 1152-1 du Code du travail relatif au harcèlement, permet de se prémunir des pervers narcissiques puisqu’ « aucun salarié ne doit subir des agissements répétés de harcèlement moral qui ont pour objet ou pour effet une dégradation des conditions de travail susceptible de porter atteinte à ses droits et à sa dignité, d’altérer sa santé physique ou mentale ou de compromettre son avenir professionnel ».

À titre d’exemple, dans le cadre du télétravail contraint, on parlera de harcèlement si un manager déviant venait à dévaloriser un collaborateur devant ses collègues lors de réunions de groupe par visio-conférence. L’utilisation quasi exclusive comme outil de communication des mails peut conduire les managers à envoyer des messages dont le contenu pourrait être insistant, insultant ou dégradant pour un collaborateur. La fréquence des sollicitations peut aussi s’accélérer dans le cas du travail à distance. Le télétravail peut aussi conduire à des situations dans lesquelles un collaborateur est appelé par le manager en journée, le soir et le weekend, et ce afin de lui demander des livrables dans des délais non tenables.

Télétravail et santé

Plusieurs enquêtes révèlent que la santé psychologique des télétravailleurs s’est dégradée. L’étude de perception CSA pour Malakoff Humanis, montre que 30 % des télétravailleurs confinés estiment leur santé psychologique dégradée. Un sondage Opinionway montre quant à lui, que 44 % des collaborateurs sont anxieux et perçoivent une détresse psychologique.

Enfin, une enquête de la CGT sur les conditions de travail et d’exercice de la responsabilité professionnelle durant le confinement, en date du 4 mai 2020, révèle que 35 % des télétravailleurs se sont victime d’une anxiété inhabituelle.

Il convient donc d’attirer l’attention des employeurs qui n’auraient pas répondu aux obligations de sécurité et de protection des télétravailleurs en laissant s’installer une situation de harcèlement et qui engagent lourdement leur responsabilité, tant au plan civil que pénal (sanction pouvant aller jusqu’à deux ans d’emprisonnement et 30 000 euros d’amende). Une vigilance toute particulière devra être apportée aux comportements managériaux déviants.

04/06/2020

Caroline Diard

Docteur en sciences de gestion de l’institut Mines-Télécom Business School, Caroline Diard est enseignant-chercheur en management des RH et Droit.

 

TELETRAVAIL ET RISQUES

Bonjour, c’est la rentrée du blog.

La même méthode :

  • Un thème approfondi sur deux ou trois semaines ; un contenu par semaine.
  • Une structuration pour réfléchir le risque : contextualisation et définition du risque / identification du ou des risques / proposition de Plans d’Actions.
  • Un fil conducteur : le rôle du Risk Manager pour prévenir les risques.
  • Les sources des articles.

Pour approfondir :

Un ouvrage de référence sur les fondamentaux de la gestion des risques et la fonction Risk Manager : « La Fonction Risk Manager. Organisation, Méthodes et Positionnement. » Editions Gereso. C.Aubry et N.Dufour.

https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

Le programme des trois semaines à venir :

Aujourd’hui, 14 septembre 2021

  • Définition du télétravail et rappel du contexte.
  • Les risques liés à un télétravail non-encadré.
  • Télétravail et Cyber-malveillance.

A relire sur le blog dans la catégorie Risques, rubrique télétravail :

  • « Télétravail et harcèlement managérial »
  • « Des recommandations de sécurité informatique

La semaine du 20 septembre

Exemple de PA – L’exemple du télétravail dans le secteur bancaire : l’importance des accords d’entreprise pour prévenir le risque.  

La semaine du 27 septembre :

Exemple de PA – Télétravail et déconfinement : l’humain  reste le pivot essentiel.

Définition

Le télétravail est défini par l’article L.1222-9 du code du travail : « Désigne toute forme d’organisation du travail dans laquelle un travail qui aurait également pu être exécuté dans les locaux de l’employeur est effectué par un salarié hors de ces locaux de façon volontaire en utilisant les techniques de l’information et de la communication. »

Rappel du contexte

41% des salariés ont eu recours au télétravail pendant le premier confinement, avec un retour à la normale avec 31% des salariés en télétravail en décembre 2020 (30% en novembre 2019).

Le télétravail peut être mis en place par tout moyen. C’est de cette diversité que vient le risque. Si vous ne mettez pas un cadre normé, vous prenez des risques.

Quels sont les risques liés au télétravail ?

Caroline Diard – Enseignant-chercheur en Management des RH et Droit (ESC Amiens) –  identifie les risques suivants :

  • Cyber-malveillance (surexposition au risque)
  • Risques psychosociaux (Burn-out, stress)
  • Harcèlement
  • Hyper-connectivité
  • Surcharge de travail
  • Contrôle exacerbé
  • Perte de concentration et erreur opérationnelle
  • Fraude interne.

Je vous propose ci-dessous un article sur le premier de ces risques.

Le télétravail accroît le risque de cyberattaques

Analyse 

L’essor du télétravail, lié à l’épidémie de Covid-19, a rendu les entreprises davantage vulnérables face aux hackers, qui prennent pour cible des grands groupes comme des PME. Les pirates se servent des ordinateurs personnels des salariés pour entrer dans le réseau de leurs entreprises.

Depuis le mois de mars, la plateforme publique cybermalveillance.gouv.fr, qui aide entreprises et particuliers à se défendre face aux attaques informatiques, a vu sa fréquentation augmenter de plus de 300 %. « Pendant le confinement, on a constaté une forte hausse d’actes de malveillance contre des grandes et petites entreprises, notamment de ransomware », explique Jérôme Notin, directeur général de la plateforme.

Ces « rançongiciels » s’attaquent à un ordinateur ou un réseau informatique, cryptent les données et les « prennent en otage ». Un message s’affiche sur l’écran des ordinateurs, indiquant le montant à payer pour retrouver l’accès aux fichiers dérobés.

Ces dernières semaines, les experts en piratage, nommés ha­ckers, ont pris pour cible de gros groupes pour leur soutirer de l’argent. L’assureur MMA, le groupe audiovisuel France Télévisions, le constructeur automobile Honda… À chaque fois, des milliers de clients sont affectés. Et ce phénomène est mondial : le 23 juillet, les utilisateurs des GPS et montres connectées Garmin se sont retrouvés sans signal. L’entreprise américaine a payé une rançon de 10 millions de dollars, d’après les révélations du site d’aide informatique Bleeping Computer.

Le télétravail, un terrain fertile

Le télétravail s’est révélé un terrain fertile pour ces attaques. « Les cybercriminels sont passés par les machines personnelles des salariés pour se connecter au réseau des entreprises », constate Jérôme Notin. Les ordinateurs personnels, transformés du jour au lendemain en outils de travail, ne disposent pas de logiciels aussi efficaces que ceux des postes de bureau pour bloquer un virus ou détecter un risque.

« Les entreprises risquent de payer pendant longtemps cette généralisation du télétravail, qui s’est faite sans aucune prise en compte des contraintes de sécurité informatique », regrette le directeur général. Car les cyberattaques ne se manifestent pas toujours immédiatement. Il faut le temps, pour ses auteurs, d’exploiter les données et de détruire les sauvegardes qu’en font les entreprises.

Tout part d’un hameçonnage

Toutefois, ces attaques étaient déjà légion avant le confinement. La Commission européenne a estimé que 80 % des entreprises du Vieux Continent avaient connu, en 2018, « au moins un incident lié à la cybersécurité ». Ceux-ci partent souvent d’un hameçonnage : un message d’une source jugée fiable, comme un site ou un tiers dont l’identité a été usurpée, invite l’employé à ouvrir un lien ou un document d’apparence anodine, par exemple nommé « facture.doc » ou « formulaire.doc », qui infecte l’ordinateur.

D’après le dernier rapport de l’assureur spécialisé Hiscox, l’impact économique des cyberattaques contre les sociétés a été multiplié par six en un an. « Nos adversaires sont plus efficaces que jamais », commente Astrid-Marie Pirson, directrice de la souscription chez Hiscox France. Sur un panel représentatif d’entreprises de huit pays, le coût médian de ces attaques est de 50 000 €.

Aux pertes liées à l’arrêt brutal de l’activité (impossibilité de communiquer, facturer, livrer) s’ajoutent les conséquences sur l’image de l’entreprise. « Ces incidents font l’objet de plus de publicité qu’il y a quelques années, notamment en raison du règlement général sur la protection des données (RGPD), qui impose aux entreprises de notifier à leurs clients les attaques dont elles ont été victimes et donc les risques de violation de leurs données », remarque Astrid-Marie Pirson. Elle rappelle le chiffre présenté par Hiscox : 80 % des entreprises ayant perdu toutes leurs données font faillite dans l’année qui suit l’attaque.

« Personne n’est à l’abri ! »

En 2019, Delphine Chevallier a fondé Thalia NeoMedia pour former employeurs et salariés à la « cyberimmunité ». « Beaucoup de chefs d’entreprise me disent qu’ils ne risquent rien car ils ne veulent de mal à personne. C’est faux, personne n’est à l’abri ! Bien sûr, les grands groupes sont des cibles du fait de leurs activités, explique-t‑elle. Mais la cybermalveillance est un phénomène global. »

La recommandation de l’Agence nationale de la sécurité des systèmes d’information (Anssi) est de ne pas payer la rançon, mais de se rendre sur le site cybermalveillance.gouv.fr pour alerter des experts, et de porter plainte. « Même en payant la rançon, on n’est pas sûr de retrouver les données, parfois déjà détruites »,explique Delphine Chevallier.

D’après la dernière enquête du Club des experts de la sécurité de l’information et du numérique (Cesin), seules 4 entreprises sur 10 s’estiment suffisamment préparées en cas de cyberattaque de grande ampleur.

Zoé Pallier, 

Le 25/08/2020

Risque Ethique. Travail forcé des Ouïghours : enquête ouverte en France contre quatre géants du textile

L’actualité récente témoigne de l’élargissement de la nature et de l’ampleur des risques, qui fait aujourd’hui de sa gestion une variable stratégique de la réflexion des entreprises.

Nouveaux risques.

Les cyber-attaques appartiennent à la catégorie des risques nouveaux ; le cyber-risque est d’ailleurs le premier cité par les entreprises dans le baromètre des risques de l’assureur Allianz. L’incendie de l’usine Lubrizol, le jeudi 26 septembre, n’est pas qu’un risque « traditionnel » d’incendie ; il s’agit d’un risque éthique dans sa dimension de développement durable. La plainte déposée début avril au parquet national antiterroriste (Pnat) par plusieurs associations de défense des droits humains contre quatre enseignes de la mode est un risque éthique dans sa dimension de gouvernance : respect par l’entreprise des engagements pris, transparence et ouverture aux besoins de l’environnement dans laquelle elle opère, prise en compte des parties prenantes, les actionnaires et tous les groupes ou individus qui peuvent affecter ou être affectés par la réalisation de ses objectifs.

Amplification du risque.

Les médias amplifient la notion de responsabilité du dirigeant en cas de négligence, les logiques de compensation. Le risque de réputation devient le « cauchemar » des organisations.

Pour plus de détail.

Voir La Fonction Risk Manager. Organisation, Méthodes et positionnement. Chapitre 1 Définition des notions mobilisées et contextualisation de la Fonction Risk Manager. Chapitre 3 Définition et illustration des différentes classes de risques auxquelles sont confrontés les Risk Managers.

Lien. https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

Voir Blog. Catégorie Risques. Rubriques Risque de réputation ou Médias et amplification du risque.

Travail forcé des Ouïghours : enquête ouverte en France contre quatre géants du textile

La justice française a ouvert une enquête pour « recel de crimes contre l’humanité » contre quatre enseignes de la mode, qui contestent ces accusations. Cette enquête fait suite à une plainte déposée début avril au parquet national antiterroriste (Pnat) par plusieurs associations de défense des droits humains.

Il n’y a pas seulement la Chine qui est pointée du doigt. Alors que Pékin est accusée par l’Occident de torture, de travail forcé, voire de génocide sur la communauté Ouïghoure, plusieurs géants mondiaux du textile sont accusés de complicité par des associations de défense des droits humains. Quatre enseignes sont désormais dans le collimateur de la justice française, a indiqué une source judiciaire ce jeudi à l’AFP, confirmant une information de « Mediapart ».

Une enquête pour « recel de crimes contre l’humanité » a ainsi été ouverte fin juin contre Uniqlo France (qui appartient au groupe japonais Fast Retailing), Inditex (qui détient les marques Zara, Bershka, Massimo Duti), SMCP (Sandro, Maje, de Fursac…) et le chausseur de sport Skechers.

Une enquête « historique »

Ouverte par le pôle « crimes contre l’humanité » du parquet national antiterroriste (Pnat), cette enquête fait suite à une plainte déposée début avril à Paris par l’association anti-corruption Sherpa, le collectif Ethique sur l’étiquette et l’Institut ouïghour d’Europe.

Les associations reprochent à ces entreprises de commercialiser des produits fabriqués en totalité, ou en partie, dans des usines où des Ouïghours sont soumis au travail forcé. Elles estiment aussi que ces sociétés ne justifient pas d’efforts suffisants pour s’assurer que leurs sous-traitants ne sont pas impliqués dans les persécutions de cette minorité.

Ces multinationales, en bénéficiant du travail forcé de cette minorité, font « entrer un crime contre l’humanité dans nos vies quotidiennes », avait déploré en avril l’eurodéputé Raphaël Glucksmann, apportant son soutien à la démarche judiciaire des ONG. L’élu a réagi le jour même sur Twitter, estimant que l’ouverture de cette enquête était « historique ».

Les entreprises contestent

Dans le détail, le géant espagnol Inditex est épinglé pour ses liens supposés avec des producteurs de fils et de tissus du Xinjiang. Une accusation formellement contestée par Inditex France. « Des contrôles de traçabilité rigoureux sont menés au sein du groupe. Ils ont permis de vérifier que les allégations provenant de cette plainte sont infondées. Le groupe coopérera, pour l’établir, avec les autorités judiciaires françaises », indique l’entreprise espagnole.

Le géant mondial de la mode à petit prix a mis en place une charte il y a des années, qui condamne notamment le travail forcé, ou encore celui des enfants. Quelque 6.000 audits sont menés dans les pays « sensibles », afin de vérifier que ses sous-traitants la respectent. « Nous appliquons une tolérance zéro à l’égard de toute forme de travail forcé et nous avons établi des politiques et des procédures pour garantir que cette pratique n’existe pas dans notre chaîne d’approvisionnement ».

Uniqlo, qui a pris position officiellement contre le travail forcé de la minorité, est accusé lui de s’être fourni en textile dans la région et dans la province d’Anhui, où des milliers de travailleurs ouïghours ont été transférés, possiblement contraints.

Le fabricant SMCP a lui pour actionnaire majoritaire Topsoho, une société détenue par le Chinois Shandong Ruyi qui, aurait implanté ses usines depuis 2010 dans le Xinjiang. Des accusations réfutées avec « la plus grande fermeté », a réagi l’entreprise, qui assure vouloir « coopérer pleinement avec l’enquête pour démontrer que celles-ci sont fausses ».

Enfin, des chaussures de Skechers USA France auraient été produites dans une usine de la province du Guangdong, où travaillent des Ouïghours transférés potentiellement de force, selon les plaignants.

Avec AFP

Les Echos, 2 juillet 2021.

LE RISQUE CLIMATIQUE : IMPACT SUR LES INSTITUTIONS FINANCIERES ET LA GESTION DES RISQUES

Rôle du régulateur : guide relatif aux risques liés au climat et à l’environnement. Gestion des risques : exercice pilote, scénarios, méthodologies.

Dans « La Fonction Risk Manager. Organisation. Méthodes et positionnement » https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html faire le point sur le rôle du régulateur comme amplificateur du risque (un des facteurs de l’élargissement du domaine du risque devenue variable stratégique dans la réflexion des organisations) et les étapes de la démarche de gestion des risques, les outils et méthodes.

Illustration sur le risque climatique.

LE RISQUE CLIMATIQUE : IMPACT SUR LES INSTITUTIONS FINANCIERES ET LA GESTION DES RISQUES

LES REGULATEURS

La transition énergétique, un sujet concernant l’ensemble des acteurs économiques, est placée au cœur des études de la Banque Centrale Européenne (BCE) en 2020.

L’année 2020 a marqué le début d’un dialogue entre les banques et les régulateurs sur l’intégration des risques climatiques et environnementaux dans les dispositifs de gestion des risques actuels. Etant un sujet majeur pour la BCE, ce nouveau défi a également suscité l’attention des autres autorités de contrôle.

BCE – “Guide relatif aux risques liés au climat et à l’environnement”

Paru en Novembre 2020, ce document vise à établir la vision de la BCE pour la mise en place d’un cadre sain de la gestion des risques liés au climat et à l’environnement. Avec ce texte, la BCE veut engager la conversation banques-régulateurs sur l’incorporation de ces nouveaux risques dans leur cadre de la gestion des risques existants.

Le guide BCE n’est pas juridiquement contraignant pour les établissements mais il permet de se préparer aux évolutions futures de la réglementation. Néanmoins, il est attendu des établissements qu’ils réalisent un premier exercice d’autoévaluation en 2021 par rapport aux attentes de la BCE.

Dans le cadre de ses tests de résistance prudentiels, la BCE prévoit l’intégration d’un volet climatique pour l’exercice 2022.

La BCE distingue 3 catégories de risques climatiques : les risques physiques, les risques de transition issus d’un mouvement vers une économie bas-carbone, et les risques de responsabilité et de réputation.

Treize attentes prudentielles sont détaillées pour la mise en place d’un cadre sain de gestion des risques liés au climat et à l’environnement. Elles vont de l’élaboration de la stratégie de l’établissement à la diffusion des informations relatives à ces nouveaux risques.

Les treize attentes prudentielles de la BCE

  • Les établissements doivent comprendre l’incidence à court, à moyen et à long terme des risques liés au climat et à l’environnement.
  • La définition et la mise en oeuvre de la stratégie opérationnelle doivent intégrer les risques climatiques et environnementaux jugés matériels.
  • Ces risques doivent être pris en compte dans les processus de gouvernance de l’établissement.
  • Le Risk Appetite Framework doit prendre en compte explicitement cette nouvelle catégorie de risque.
  • Les risques liés au climat doivent être intégrés dans la structure organisationnelle de l’établissement selon le modèle trois lignes de défense.
  • La communication interne doit permettre aux instances de direction de l’établissement de prendre les décisions adéquates en matière de risques.
  • Le cadre de gestion des risques doit être actualisé pour intégrer ces risques dans les processus de détection, de quantification et dans l’ICAAP.
  • Prendre en compte ces risques dans les processus d’octroi de crédit.
  • Analyser l’impact des risques climatiques sur la continuité des activités et l’impact de l’activité actuelle de l’établissement sur le risque de réputation et/ou de responsabilité.
  • Suivre les impacts de ces risques sur l’exposition actuelle au risque de marché et mettre en place des tests de résistance.
  • Intégrer ces risques dans l’élaboration de test de résistance, scenarios de référence et scenarios adverses.
  • Suivre les impacts de ces risques sur les flux de trésorerie et le coussin de liquidité et actualiser le cadre de la gestion de la liquidité.
  • Publier les informations utiles et les indicateurs clés (KPI) sur les risques liés au climat et à l’environnement.
20212022
Auto évaluation des établissements sur leur dispositif de gestion des risques climatiques
Communication BCE-Etablissements sur les plans d’actions établis
Mise en place du test de résistance courant 2022 incluant les risques liés au climat et à l’environnement
Mise en place, par la BCE, de mesures de suivi concrètes sur ces nouveaux risques

ACPR (Autorité Prudentielle de Contrôle et de Restitution) – EXERCICE PILOTE CLIMATIQUE 2020

Mené en 2020 par l’APCR, cet exercice a mobilisé 9 banques françaises ainsi que 15 groupes d’assurances sur un exercice de stress test climatique.

L’objectif premier de cet exercice était d’initier une réflexion et sensibiliser l’ensemble des acteurs sur ce nouveau sujet et d’obtenir une plus grande transparence des institutions financières  à ce type de risque.

Cet exercice était l’opportunité pour les participants de renforcer leur dispositif de gouvernance interne en mettant en place de nouvelles stratégies de gestion des risques et de prise de décisions prenant en compte l’impact de ce nouveau type de risque.

Avec ce premier stress test, l’ACPR a voulu mesurer l’impact et le coût induit par le non-respect des accords de Paris et définir les méthodologies de gestion des risques climatiques. Pour cela, elle a fourni aux participants 3 scénarios d’un horizon temporel 2050.

Les résultats de cet exercice ont été remis par les établissements fin 2020. L’ACPR a publié la synthèse et l’analyse de ces résultats en avril 2021. L’ACPR souhaite initier le dialogue entre les régulateurs nationaux et les institutions financières sur le sujet des risques liés au climat et à l’environnement.

En 2022, l’ACPR prévoit la mise en place de nouveaux groupes de travail sur ce sujet. Elle participe aussi à la préparation de l’exercice de test de résistance de la BCE. Le prochain exercice climatique ACPR devrait se tenir en 2023/2024 avec l’intention de le reconduire fréquemment.

SCENARIOS UTILISES PAR L’ACPR

Référence : un scenario de référence basé sur la stratégie nationale française SNBC (Stratégie Nationale Bas Carbone) qui constitue la feuille de route pour atteindre le zéro émission nette en 2050. Le scenario prend en compte les orientations de la LTECV (Loi de Transition Energétique pour la Croissance Verte) telles que la réduction des émissions de gaz à effet de serre (GES) et les budgets carbones.

Transition retardée : Le scénario de réaction tardive suppose que les objectifs de réduction des gaz à effet de serre ne soient pas atteints en 2030. Ceci entraine la prise de mesures plus volontaristes en reproduisant les trajectoires d’émissions de GES, de PIB, et de prix carbone du scenario de transition désordonnée du NGFS (Network for Greening the Financial System).

Transition rapide : Le scenario de transition rapide et brutale est l’issue d’une révision du prix carbone et d’une baisse de la productivité à partir de 2025. Les technologies de production d’énergies renouvelables sont supposées non matures, ce qui entraine une augmentation des prix de l’énergie et une redirection des investissements publics et privés vers la production d’énergie. Ceci se traduit par une baisse de la productivité de l’économie dans son ensemble.

LES RESULTATS DE L’EXERCICE

L’exercice pilote est une première en matière de test de résistance climatique. Une mobilisation importante des acteurs financiers a été observée avec 85% du total du bilan bancaire (BPCE, SG, BNP, CA, …)  et 75% du total du bilan des assurances (AXA, Allianz, CAA, MAAF, MACIF, …).

Du point de vue des expositions, les résultats révèlent une exposition modérée des institutions financières face aux risques climatiques et environnementaux.  L’impact de ces risques se concentre sur 7 secteurs tels que la culture et productions animales, l’industrie extractive, l’industrie chimique, … En 2020, les banques sont en meilleure position que les assurances sur le plan de l’exposition aux risques climatiques. Les banques ayant participé à l’exercice ACPR ont un portefeuille de crédit moyen exposé à 9,7% sur les secteurs ci-dessus, tandis que les assurances ont un portefeuille moyen exposé à 17%. Ces expositions, relativement faibles, restent néanmoins un point d’effort pour l’ensemble des institutions financières afin d’être en cohérence avec les ambitions françaises en ce qui concerne la transition énergétique.

Les scénarios et les méthodologies définis lors de cet exercice vont être utilisés, par les ACNs et par la BCE, comme socle pour leurs exercices de stress tests à venir. Il est cependant important de noter que les scenarios définis par l’ACPR ne prennent pas en compte l’éventualité d’une récession entre 2020 et 2050 ce qui est inhabituel dans le cadre d’un exercice de stress test. Il paraitrait plus prudent, pour les institutions financières, d’utiliser des scénarios internes pour mesurer leurs expositions aux risques climatiques en combinant les scenarios ACPR et les éventuelles crises économiques pouvant survenir.

L’exercice révèle certains retards, notamment sur la capacité des banques à simuler leurs impacts physiques sur les portefeuilles crédits. En effet, les données nécessaires pour parvenir à estimer les impacts des risques physiques sont encore trop peu accessibles au niveau consolidé. Ces nouveaux besoins de données devraient donc être pris en compte par les institutions financières dans leurs futurs chantiers SI.

Enfin les limites méthodologiques de l’exercice devraient s’améliorer par la mise en place de nouveaux travaux par les différents régulateurs, notamment sur les hypothèses et scénarios, la prise en compte du risque physique sur les expositions corporate et les sources de données.

BCBS – CLIMATE RELATED FINANCIAL RISKS

En Avril 2021, la BIS a publié deux rapports sur les méthodologies à appliquer pour les risques liés à l’environnement et au climat.

Un cadre de gestion des risques sain doit :

Identifier les facteurs de risques climatiques

Cartographier et quantifier les expositions aux risques climatiques et les concentrations

Traduire ces risques en indicateurs financiers

Les risques liés au climat et à l’environnement imposent un nouveau besoin pour les banques : un nouveau type de données uniques par rapport aux bases disponibles à l’heure actuelle.

En effet, pour les problématiques telles que « les expositions aux risques de transition par une contrepartie », la localisation du siège social ne sera plus la seule donnée nécessaire. Le risque de transition peut nécessiter la connaissance de la localisation de l’ensemble de la chaine de valeur du client mais aussi, la localisation de ses fournisseurs, du mode et des routes de transport utilisés afin d’avoir une vision claire sur l’exposition du client à ce type de risque.

Ce document a pour objectif de présenter les méthodologies à l’étude pour l’application future des quantifications de ce nouveau risque.

La réflexion de la BIS se poursuivra sur les prochaines années, notamment en ce qui concerne les méthodologies de modélisation et de mesures des risques climatiques.

Pour 2021-2022 la BIS annonce sa volonté de poursuivre l’étude des risques climatiques sur 3 axes : régulation, supervision et communication.

By Omote | Juin 15, 2021 

A LA POURSUITE DU RISQUE CLIMATIQUE…RSE ET Maitrise des Risques.

Une étude intéressante de l’Observatoire des Risques Opérationnels (Oprisko).

Ses conclusions :

  • la RSE contribue à la maîtrise des risques ;
  • l’enjeu de la durabilité est identifié par les entreprises ;
  • les mesures mises en place sont de deux catégories ; elles sont discrètes ;
  • les mesures mises en place sont rentables à long terme.

Vous pouvez également lire l’article publié sur le blog « Les achats responsables au cœur des nouveaux enjeux de la RSE  » . Il propose un exemple d’intégration de la RSE à la démarche de gestion du risque achat. A retrouver dans les archives du mois de mai 2021 ou dans la Catégorie Risques, rubrique Risque et Opportunité.

Pour faire le point sur les étapes de la démarche de gestion des risques et l’approche que je propose voir :

https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

Est-ce qu’une stratégie qui intègre des dimensions sociales, environnementales et de bonne gouvernance contribue à la maîtrise des risques d’entreprise ?

L’étude 2020 d’Oprisko complète est disponible ici : https://rushfiles.one/client/publiclink.aspx?id=zlhIk8PT8d

Qui d’entre nous a déjà entendu parler des critères ESG [1] ? Ou bien des 17 objectifs de développement durable (ODD) à atteindre d’ici 2030 (subdivisés en 169 cibles avec des indicateurs spécifiques) ? Et pourtant, les débats sont omniprésents depuis des années. Les médias traitent en permanence de développement durable, de responsabilité sociétale de l’entreprise (RSE), de Charte Mondiale de l’ONU, d’agenda 2030[2], de stratégie 2050 (neutralité carbone), des objectifs de développement durable onusiens de 2015 (ODD).

Au-delà de ce jargon d’initié, la finalité reste la même, à savoir entamer la transformation qui mènera les populations à vivre dans de meilleures conditions sur terre. Il s’agit concrètement de repenser le modèle économique, en encadrant le développement économique avec des piliers environnementaux, sociaux et éthiques, afin que la croissance puisse être durable.

Évidemment cette transformation aura des impacts à l’avenir dans nos sociétés et dans les entreprises. Et nous sommes d’avis que les entreprises qui n’adopteront pas cette démarche d’intégration de « développement durable » s’exposeront à des risques accrus, d’où une gestion des risques innovante à implémenter. D’autant plus que les consommateurs et les collaborateurs des entreprises sont dorénavant plus attentifs et davantage sensibilisés à ces problématiques ; et en légiférant, les gouvernements se sont engagés pour une transition vers des économies post-carbone et responsables.

En somme, prendre en compte cet aspect « développement durable » correspond à un équilibrage entre l’efficacité économique (création de richesse et conditions de vie matérielle), la responsabilité environnementale (dimension écologique, écosystème) et l’équité sociale (santé, éducation). Le business oui, mais plus à n’importe quel prix.

Dans ce contexte, le postulat de notre étude était qu’une bonne stratégie d’entreprise doit intégrer des paramètres économiques, sociaux et respectueux de l’environnement. Car, pensons-nous, une stratégie qui intègre des dimensions sociales, environnementales et de bonne gouvernance contribue à la maîtrise des risques d’entreprise.

Toute la question est de savoir comment intégrer des principes de développement durable dans la gestion des risques opérationnels de l’entreprise. Notre étude de terrain visait à identifier les bonnes pratiques en la matière et si, pour des entreprises qui appliquent véritablement cette stratégie, cela permet effectivement de gérer plus efficacement ces risques.

A la vue des interviews collectées, le constat est mitigé. Alors que l’enjeu de la durabilité est clairement identifié, les mesures mises en place semblent ridicules, et les moyens engagés pour atteindre les objectifs paraissent dérisoires. 

Hormis le CRO de l’Etat de Genève, rares sont les organisations qui connaissent la définition du développement durable telle qu’elle ressort du Rapport Brundtland (1987) : « Le développement durable doit répondre aux besoins du présent sans compromettre la capacité des générations futures de répondre aux leurs ». Mais peu importe au fond, car les sondés ont conscience que la nature est vulnérable et les ressources de la planète limitées. Pour preuve, les inquiétudes et les mesures sont principalement centrées sur les aspects environnementaux, parfois sociétaux, rarement de gouvernance (ESG). La « durabilité » reste un concept intuitif et rassembleur, mais difficile à cerner, et à fortiori rarement normé. Rarement des chartes sont rédigées, et les sondés évoquent plutôt des principes, des critères (code de conduite), voire un esprit ou un système de valeurs.

Le tour d’horizon proposé dans cette étude a permis de mieux faire connaître les mesures en place, qui peuvent se regrouper en deux catégories : les mesures commerciales à l’adresse des clients (centrées sur l’offre des produits et services), comme la notation de la durabilité des clients et des fournisseurs par exemple ; et les mesures internes à l’entreprise, comme le tri des déchets, les économies d’énergie, ou l’incitation à la mobilité douce par exemple. Le chemin est long et sinueux pour que les organisations progressent réellement dans le domaine de la durabilité.

En outre notre enquête a mis en exergue certains bénéfices et inconvénients de la durabilité pour les organisations. Du point de vue économique, nous avons relevé que des organisations améliorent dans une certaine mesure leur profitabilité en augmentant leurs volumes d’affaires ou leurs prix, en rationalisant leurs processus ou en adaptant les salaires. Au niveau social, des organisations gèrent le turnover en limitant le risque de démission des employés tout en attirant plus facilement de nouveaux candidats grâce aux bienfaits des « valeurs de durabilité ». Cependant, l’horizon des investissements est plus long, car les opérations sont peu rentables à court terme. 

La transformation durable des organisations nécessite une analyse approfondie afin que soit mise en place une approche qui intègre les parties prenantes internes et externes à l’organisation. 

Cyrille Reynard 

17 décembre 2020


[1] Les mesures (ESG) sont les trois piliers de l’analyse extra-financière qui permettent d’évaluer la stratégie durable de l’entreprise : 1) environnementale (consommation d’énergie, tri des déchets, transports et mobilité, matériaux), 2) sociale (politique RH, égalité homme/femmes, santé et sécurité au travail, respect des droits humains, conditions de travail), 3) gouvernance (achats responsables, dialogue avec les parties prenantes, lutte contre la corruption et la fraude).

[2] Le Conseil fédéral attend des entreprises domiciliées en Suisse qu’elles assument leurs responsabilités environnementales et sociales dans toutes leurs activités. Rapport national 2018.

LA NECESSAIRE GESTION DU RISQUE CLIMATIQUE

Un article sur la nécessaire gestion du risque climatique et ses interactions avec la RSE. Retour sur le Forum pour l’Investissement Responsable (FIR).

L’engagement ESG du CAC 40 déçoit les investisseurs

Si la prise de conscience est réelle sur le climat et l’égalité femmes-hommes, les mesures concrètes restent insuffisantes, selon le FIR.

Déception. Le CAC 40 a encore bien des efforts à faire en matière d’ESG (environnement, social et gouvernance), selon le Forum pour l’investissement responsable (FIR). Il a lancé pour la première fois l’an dernier, une campagne de 12 questions écrites sur des sujets ESG à l’occasion des assemblées générales du CAC 40. A chaque réponse, le FIR a attribué une note allant de zéro à trois étoiles. Moins d’un tiers des réponses ont obtenu une note d’au moins deux étoiles. «Beaucoup de réponses sont décevantes, peu élaborées et n’ont pas été à la hauteur de nos attentes», regrette Alexis Masse, président du FIR, rappelant que le dialogue entreprises investisseurs est «fondamental».

Point positif, toutes les sociétés de l’indice ont répondu, mais celles de droit étranger ressortent en queue de classement (Airbus, ArcelorMittal) avec EssilorLuxottica, tandis que Schneider Electric arrive en tête, suivi par Orange, BNP Paribas, Crédit Agricole et Michelin.

Sur les sujets climatiques«une prise de conscience a eu lieu», reconnaît Alexis Masse. Toutefois, les sociétés peinent à expliquer l’alignement de leur plan d’affaires sur le scénario climatique, en proposant un plan de transformation et des jalons. Seules cinq sociétés communiquent un montant d’investissement.

En matière d’égalité femmes-hommes, les plans d’actions ne semblent pas très clairs pour la moitié du CAC 40. Seules cinq sociétés ont intégré ce critère dans la rémunération variable de leurs dirigeants.

Alors que l’offre de fonds responsables est particulièrement riche en France, le FIR ne comprend pas qu’ils ne soient pas proposés pour l’épargne salariale.

Trois sujets restent encore embryonnaires. En matière de biodiversité, «aucune entreprise n’a une prise en compte directe et indirecte, assez robuste, avec un plan et des actions concrètes», constate Caroline Le Meaux, présidente de la commission Dialogue & Engagement du FIR. Or, les investisseurs sont très demandeurs. Les sujets du salaire «décent» et de la responsabilité fiscale des entreprises, avec un mode de redistribution par l’impôt le plus efficient possible, sont encore peu étudiés.

Quant à la publication de l’avis des partenaires sociaux sur la déclaration de performance extra-financière, non obligatoire, personne ne le fait et l’immense majorité élude la question.

Le FIR vient de lancer la campagne 2021, avec les mêmes points – pour mesurer l’évolution – en ajoutant deux questions sur le lobbying responsable et sur l’économie circulaire.

Bruno de Roulhac  30/04/2021 

L’AGEFI Quotidien

Le risque devenu variable stratégique de la réflexion organisationnelle des entreprises sous l’effet de cinq facteurs. Illustration sur le risque climatique.

Après avoir défini le risque climatique (blog 28 mai), nous avons illustré le 3ème facteur d’élargissement du domaine du risque (difficultés à assurer le risque climatique) (blog 4 juin), nous illustrons le 5ème facteur : le rôle du régulateur-législateur (https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html) et les condamnations qui commencent à arriver.

APRÈS LA CONDAMNATION DE SHELL AUX PAYS-BAS, LES LITIGES CLIMATIQUES DEVIENNENT UN VRAI RISQUE POUR LES ENTREPRISES

Le 26 mai dernier, Shell a été condamné par un tribunal néerlandais à rehausser ses ambitions climatiques. Cette condamnation encourage les ONG écologistes du monde entier à suivre cette voie judiciaire pour faire bouger les majors pétrolières. Un risque que tous les secteurs identifiés comme polluants prennent désormais au sérieux. 

C’est une « immense victoire », un « jugement historique ». Les réactions se multiplient depuis le 26 mai, date à laquelle un tribunal néerlandais a condamné Shell à réduire ses émissions de CO2 de 45 % d’ici 2030 par rapport à 2019. « Cette décision va dans le sens de l’histoire qui veut que les sociétés s’engagent, mais pas à la légère », décrypte l’avocat en droit de l’environnement, Arnaud Gossement. Les juges néerlandais ont considéré que les engagements de Shell ne sont pas assez ambitieux pour répondre aux objectifs de l’Accord de Paris. Seuls des États avaient été condamnés pour leur manque d’ambition climatique. Le premier ayant justement été les Pays-Bas attaqués par l’ONG Urgenda.

« Les contentieux contre les entreprises sont encore plus puissants que ceux visant les États« , estime Arnaud Gossement. « Pour elles, la réaction est immédiate. Elles doivent faire face à une baisse des cours en Bourse, à la méfiance des investisseurs, au risque juridique… La pression est plus forte et plus rapide« , analyse l’avocat. Pour l’instant, les entreprises sont relativement épargnées par les recours juridiques sur le climat. Sur les 1 824 litiges climatiques portés devant les tribunaux depuis les années 1990, seul un quart concerne les entreprises, selon la base de données Grantham Institute on Climate Change and the Environnement de la London School of Economics.

Cette condamnation montre la voie à suivre

On retrouve ainsi la plainte de l’ONG ClientEarth contre la centrale électrique polonaise Belchatow. La poursuite du groupe agroalimentaire Casino par plusieurs ONG, dont des Françaises, pour son rôle dans la déforestation et l’accaparement de terres des peuples autochtones en Amérique du Sud. La plainte de Greenpeace demandant à l’entreprise PGE Polska Grupa Energetyczna de stopper ses investissements dans les énergies fossiles en vertu de la protection de l’environnement. Dans le détail, 32 plaintes concernent des producteurs d’énergies fossiles. Mais selon plusieurs experts, la condamnation de Shell devrait faire exploser ce type de recours contre les entreprises et particulièrement les majors pétrolières. 

Cette décision « ouvre la voie sur le terrain de la responsabilité climatique des multinationales pétrolières », croient ainsi Sébastien Mabile et François de Cambiaie. Les deux avocats sont en charge du dossier qui oppose un collectif d’associations et de collectivités, dont Notre affaire à tous, à Total. Ces dernières ont assigné en justice le pétrolier pour qu’il rehausse ses ambitions climatiques en s’appuyant sur son devoir de vigilance, une obligation faite aux entreprises de prévenir les risques sociaux, environnementaux et de gouvernance. « Ce litige est très similaire à celui de Shell. Un tel jugement aura des répercussions devant les tribunaux français« , croient les deux avocats.  

Pression sur les secteurs carbo-intensifs

« Partout, les gens sont prêts à poursuivre les compagnies pétrolières dans leur propre pays, en suivant notre exemple », estime même Roger Cox, avocat de l’association Milieudefensie. Et pour cause, Paul Mougeolle, de Notre Affaire à tous, prévient : « Si les entreprises ne prennent pas acte de ce jugement, nous multiplierons les moyens judiciaires pour faire reconnaître cette décision en France ». Le but, pour les associations, est surtout de pousser les multinationales à revoir leurs ambitions à la hausse, sans pour autant attendre le jugement du tribunal, en exerçant notamment une pression médiatique et réputationnelle.

Et ce phénomène pourrait s’étendre à d’autres secteurs. Un dirigeant d’une compagnie aérienne a ainsi déclaré au Financial Times que la décision de Shell était prise au sérieux. « En privé, les hauts responsables des industries polluantes admettent que la pression pour accélérer les réductions d’émissions augmente », écrit le journal britannique. Mais attention à ce que les actions judiciaires ne deviennent pas le seul levier dans la lutte climatique, prévient Arnaud Gossement. « Le temps judiciaire, très lent, n’est pas celui du changement climatique », argue-t-il.

Marina Fabre