Archives pour la catégorie élargissement du domaine du risque

Risque Ethique. Travail forcé des Ouïghours : enquête ouverte en France contre quatre géants du textile

L’actualité récente témoigne de l’élargissement de la nature et de l’ampleur des risques, qui fait aujourd’hui de sa gestion une variable stratégique de la réflexion des entreprises.

Nouveaux risques.

Les cyber-attaques appartiennent à la catégorie des risques nouveaux ; le cyber-risque est d’ailleurs le premier cité par les entreprises dans le baromètre des risques de l’assureur Allianz. L’incendie de l’usine Lubrizol, le jeudi 26 septembre, n’est pas qu’un risque « traditionnel » d’incendie ; il s’agit d’un risque éthique dans sa dimension de développement durable. La plainte déposée début avril au parquet national antiterroriste (Pnat) par plusieurs associations de défense des droits humains contre quatre enseignes de la mode est un risque éthique dans sa dimension de gouvernance : respect par l’entreprise des engagements pris, transparence et ouverture aux besoins de l’environnement dans laquelle elle opère, prise en compte des parties prenantes, les actionnaires et tous les groupes ou individus qui peuvent affecter ou être affectés par la réalisation de ses objectifs.

Amplification du risque.

Les médias amplifient la notion de responsabilité du dirigeant en cas de négligence, les logiques de compensation. Le risque de réputation devient le « cauchemar » des organisations.

Pour plus de détail.

Voir La Fonction Risk Manager. Organisation, Méthodes et positionnement. Chapitre 1 Définition des notions mobilisées et contextualisation de la Fonction Risk Manager. Chapitre 3 Définition et illustration des différentes classes de risques auxquelles sont confrontés les Risk Managers.

Lien. https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

Voir Blog. Catégorie Risques. Rubriques Risque de réputation ou Médias et amplification du risque.

Travail forcé des Ouïghours : enquête ouverte en France contre quatre géants du textile

La justice française a ouvert une enquête pour « recel de crimes contre l’humanité » contre quatre enseignes de la mode, qui contestent ces accusations. Cette enquête fait suite à une plainte déposée début avril au parquet national antiterroriste (Pnat) par plusieurs associations de défense des droits humains.

Il n’y a pas seulement la Chine qui est pointée du doigt. Alors que Pékin est accusée par l’Occident de torture, de travail forcé, voire de génocide sur la communauté Ouïghoure, plusieurs géants mondiaux du textile sont accusés de complicité par des associations de défense des droits humains. Quatre enseignes sont désormais dans le collimateur de la justice française, a indiqué une source judiciaire ce jeudi à l’AFP, confirmant une information de « Mediapart ».

Une enquête pour « recel de crimes contre l’humanité » a ainsi été ouverte fin juin contre Uniqlo France (qui appartient au groupe japonais Fast Retailing), Inditex (qui détient les marques Zara, Bershka, Massimo Duti), SMCP (Sandro, Maje, de Fursac…) et le chausseur de sport Skechers.

Une enquête « historique »

Ouverte par le pôle « crimes contre l’humanité » du parquet national antiterroriste (Pnat), cette enquête fait suite à une plainte déposée début avril à Paris par l’association anti-corruption Sherpa, le collectif Ethique sur l’étiquette et l’Institut ouïghour d’Europe.

Les associations reprochent à ces entreprises de commercialiser des produits fabriqués en totalité, ou en partie, dans des usines où des Ouïghours sont soumis au travail forcé. Elles estiment aussi que ces sociétés ne justifient pas d’efforts suffisants pour s’assurer que leurs sous-traitants ne sont pas impliqués dans les persécutions de cette minorité.

Ces multinationales, en bénéficiant du travail forcé de cette minorité, font « entrer un crime contre l’humanité dans nos vies quotidiennes », avait déploré en avril l’eurodéputé Raphaël Glucksmann, apportant son soutien à la démarche judiciaire des ONG. L’élu a réagi le jour même sur Twitter, estimant que l’ouverture de cette enquête était « historique ».

Les entreprises contestent

Dans le détail, le géant espagnol Inditex est épinglé pour ses liens supposés avec des producteurs de fils et de tissus du Xinjiang. Une accusation formellement contestée par Inditex France. « Des contrôles de traçabilité rigoureux sont menés au sein du groupe. Ils ont permis de vérifier que les allégations provenant de cette plainte sont infondées. Le groupe coopérera, pour l’établir, avec les autorités judiciaires françaises », indique l’entreprise espagnole.

Le géant mondial de la mode à petit prix a mis en place une charte il y a des années, qui condamne notamment le travail forcé, ou encore celui des enfants. Quelque 6.000 audits sont menés dans les pays « sensibles », afin de vérifier que ses sous-traitants la respectent. « Nous appliquons une tolérance zéro à l’égard de toute forme de travail forcé et nous avons établi des politiques et des procédures pour garantir que cette pratique n’existe pas dans notre chaîne d’approvisionnement ».

Uniqlo, qui a pris position officiellement contre le travail forcé de la minorité, est accusé lui de s’être fourni en textile dans la région et dans la province d’Anhui, où des milliers de travailleurs ouïghours ont été transférés, possiblement contraints.

Le fabricant SMCP a lui pour actionnaire majoritaire Topsoho, une société détenue par le Chinois Shandong Ruyi qui, aurait implanté ses usines depuis 2010 dans le Xinjiang. Des accusations réfutées avec « la plus grande fermeté », a réagi l’entreprise, qui assure vouloir « coopérer pleinement avec l’enquête pour démontrer que celles-ci sont fausses ».

Enfin, des chaussures de Skechers USA France auraient été produites dans une usine de la province du Guangdong, où travaillent des Ouïghours transférés potentiellement de force, selon les plaignants.

Avec AFP

Les Echos, 2 juillet 2021.

Le risque devenu variable stratégique de la réflexion organisationnelle des entreprises sous l’effet de cinq facteurs. Illustration sur le risque climatique.

Après avoir défini le risque climatique (blog 28 mai), nous avons illustré le 3ème facteur d’élargissement du domaine du risque (difficultés à assurer le risque climatique) (blog 4 juin), nous illustrons le 5ème facteur : le rôle du régulateur-législateur (https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html) et les condamnations qui commencent à arriver.

APRÈS LA CONDAMNATION DE SHELL AUX PAYS-BAS, LES LITIGES CLIMATIQUES DEVIENNENT UN VRAI RISQUE POUR LES ENTREPRISES

Le 26 mai dernier, Shell a été condamné par un tribunal néerlandais à rehausser ses ambitions climatiques. Cette condamnation encourage les ONG écologistes du monde entier à suivre cette voie judiciaire pour faire bouger les majors pétrolières. Un risque que tous les secteurs identifiés comme polluants prennent désormais au sérieux. 

C’est une « immense victoire », un « jugement historique ». Les réactions se multiplient depuis le 26 mai, date à laquelle un tribunal néerlandais a condamné Shell à réduire ses émissions de CO2 de 45 % d’ici 2030 par rapport à 2019. « Cette décision va dans le sens de l’histoire qui veut que les sociétés s’engagent, mais pas à la légère », décrypte l’avocat en droit de l’environnement, Arnaud Gossement. Les juges néerlandais ont considéré que les engagements de Shell ne sont pas assez ambitieux pour répondre aux objectifs de l’Accord de Paris. Seuls des États avaient été condamnés pour leur manque d’ambition climatique. Le premier ayant justement été les Pays-Bas attaqués par l’ONG Urgenda.

« Les contentieux contre les entreprises sont encore plus puissants que ceux visant les États« , estime Arnaud Gossement. « Pour elles, la réaction est immédiate. Elles doivent faire face à une baisse des cours en Bourse, à la méfiance des investisseurs, au risque juridique… La pression est plus forte et plus rapide« , analyse l’avocat. Pour l’instant, les entreprises sont relativement épargnées par les recours juridiques sur le climat. Sur les 1 824 litiges climatiques portés devant les tribunaux depuis les années 1990, seul un quart concerne les entreprises, selon la base de données Grantham Institute on Climate Change and the Environnement de la London School of Economics.

Cette condamnation montre la voie à suivre

On retrouve ainsi la plainte de l’ONG ClientEarth contre la centrale électrique polonaise Belchatow. La poursuite du groupe agroalimentaire Casino par plusieurs ONG, dont des Françaises, pour son rôle dans la déforestation et l’accaparement de terres des peuples autochtones en Amérique du Sud. La plainte de Greenpeace demandant à l’entreprise PGE Polska Grupa Energetyczna de stopper ses investissements dans les énergies fossiles en vertu de la protection de l’environnement. Dans le détail, 32 plaintes concernent des producteurs d’énergies fossiles. Mais selon plusieurs experts, la condamnation de Shell devrait faire exploser ce type de recours contre les entreprises et particulièrement les majors pétrolières. 

Cette décision « ouvre la voie sur le terrain de la responsabilité climatique des multinationales pétrolières », croient ainsi Sébastien Mabile et François de Cambiaie. Les deux avocats sont en charge du dossier qui oppose un collectif d’associations et de collectivités, dont Notre affaire à tous, à Total. Ces dernières ont assigné en justice le pétrolier pour qu’il rehausse ses ambitions climatiques en s’appuyant sur son devoir de vigilance, une obligation faite aux entreprises de prévenir les risques sociaux, environnementaux et de gouvernance. « Ce litige est très similaire à celui de Shell. Un tel jugement aura des répercussions devant les tribunaux français« , croient les deux avocats.  

Pression sur les secteurs carbo-intensifs

« Partout, les gens sont prêts à poursuivre les compagnies pétrolières dans leur propre pays, en suivant notre exemple », estime même Roger Cox, avocat de l’association Milieudefensie. Et pour cause, Paul Mougeolle, de Notre Affaire à tous, prévient : « Si les entreprises ne prennent pas acte de ce jugement, nous multiplierons les moyens judiciaires pour faire reconnaître cette décision en France ». Le but, pour les associations, est surtout de pousser les multinationales à revoir leurs ambitions à la hausse, sans pour autant attendre le jugement du tribunal, en exerçant notamment une pression médiatique et réputationnelle.

Et ce phénomène pourrait s’étendre à d’autres secteurs. Un dirigeant d’une compagnie aérienne a ainsi déclaré au Financial Times que la décision de Shell était prise au sérieux. « En privé, les hauts responsables des industries polluantes admettent que la pression pour accélérer les réductions d’émissions augmente », écrit le journal britannique. Mais attention à ce que les actions judiciaires ne deviennent pas le seul levier dans la lutte climatique, prévient Arnaud Gossement. « Le temps judiciaire, très lent, n’est pas celui du changement climatique », argue-t-il.

Marina Fabre

RIsque climatique et Assurances.

Aujourd’hui, illustration de ce que j’appelle (dans l’ouvrage « La Fonction Risk Manager. Organisation. Méthodes et Positionnement ») le 3ème facteur d’élargissement du domaine du risque à savoir la difficulté à assurer le risque climatiqueDe la nécessité de mettre en place une démarche de gestion des risques globale de type ERM.

https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

Je vous propose de lire sur ce sujet la Tribune de Jérôme Bergé parue dans Le Monde le 19 mai 2021.

Jérôme Bergé, expert en gestion des risques, rend compte dans une tribune au « Monde » du « stress test climatique » alarmant mené par l’autorité de supervision des banques et des assurances

Le paysage actuel de l’assurance pourrait connaître un bouleversement complet face au risque climatique

« L’ Autorité de contrôle prudentiel et de résolution (ACPR), qui supervise l’activité des banques et des assurances en France, a publié le 4 mai 2021 le bilan d’un exercice inédit, qui visait à évaluer les risques associés au changement climatique d’ici à 2050. Pendant un an, neuf groupes bancaires et quinze groupes d’assurance ont participé à cet exercice pour déterminer leur résistance aux changements climatiques.

Cette étude annonce en particulier une hausse importante de la sinistralité liée aux risques de sécheresse, d’inondations et de tempêtes cycloniques dans les territoires ultramarins, avec la multiplication par 5 à 6 du coût des sinistres dans certains départements. Il pourrait en résulter un retrait des assureurs des zones géographiques les plus exposées.

La situation décrite par l’ACPR est d’autant plus inquiétante que les chiffres de l’année 2020 en lien avec des événements climatiques sont déjà relativement élevés. Ainsi, la tempête Alex (du 30 septembre au 3 octobre 2020), avec des pluies diluviennes, a dévasté la vallée de la Roya pour un coût estimé à 200 millions d’euros par les assureurs. La période janvier-août 2020 a été la plus chaude jamais observée en France depuis le début des mesures météorologiques ; l’impact financier de la sécheresse s’élèverait à plus de 500 millions d’euros.

Optimiser la prévention contre les risques

Pour couvrir ce surplus de sinistres, les assureurs pourraient procéder à une augmentation des primes. Mais le coût des sinistres liés aux changements climatiques s’annonçant vertigineux, l’augmentation des primes le serait également. Le rapport évoque une hausse comprise entre 130 % et 200 % sur 30 ans selon la catégorie, soit une hausse des primes d’assurance comprise entre 2,8 % et 3,7 % par an. La question de l’acceptabilité par la population pourrait alors se poser, et bousculer le système traditionnel qui voit dans l’assureur un partenaire incontournable face à un sinistre.

Les pouvoirs publics doivent optimiser la prévention contre ces risques, même si un travail de fond a déjà été engagé depuis plusieurs années. Pour les inondations, la construction de digues est une solution efficace, tout comme les systèmes d’alerte qui informent la population en amont de l’arrivée imminente d’une catastrophe. Il faut maîtriser le développement et l’aménagement des zones considérées à risques, en particulier dans les zones densément peuplées. Dans le bâtiment, les normes doivent évoluer pour obtenir une meilleure résistance aux événements climatiques. Dans tous les cas, le renforcement des dispositifs de gestion de crise sera un élément-clé.

Le taux de pénétration des couvertures d’assurance dans la population est déterminant pour le redressement qui suit une catastrophe naturelle. Un rapport publié en septembre 2020 par Axa XL en collaboration avec le Centre for Risk Studies de la Judge Business School (Cambridge) indique que dans les pays où l’assurance est développée, comme l’Europe occidentale, le délai de retour à la normale est inférieur à un an, alors qu’il est supérieur à quatre ans dans les pays faiblement assurés.

La pertinence de l’assurance est incontestable lors d’un événement majeur, il est donc primordial de veiller à ce que la population française soit toujours assurée de manière satisfaisante. Néanmoins, une augmentation des primes pourrait éloigner la population de l’assurance et ouvrir la voie à une précarité sociale et économique lors de la survenance d’un sinistre. Un habitat abîmé qui ne serait pas rénové rapidement pourrait devenir insalubre, et entraîner la paupérisation d’une famille.

Pour les entreprises, il est déterminant d’agir dans un laps très court pour maintenir la relation client, la chaîne d’approvisionnement et la confiance des salariés. Sans assurance, l’écosystème de l’entreprise est fragilisé. Si le sinistre touche une zone géographique importante, le chaos peut vite s’installer si les assurances n’interviennent pas. Il en est de même pour le montage de grands projets d’investissements.

Avec un coût d’assurance exorbitant, les événements sportifs, la construction d’immeubles ou d’infrastructures se trouveraient fragilisés, car l’assurance est un facteur-clé pour finaliser le financement du projet. Le paysage actuel de l’assurance pourrait connaître un bouleversement complet dans les années à venir. Il n’est jamais trop tard pour agir, même si le temps est compté. L’Etat doit appuyer avec vigueur la recherche pour faire émerger des solutions innovantes et limiter l’impact des catastrophes naturelles. L’Union européenne doit être partie prenante de ces réflexions, car tous les pays seront confrontés peu ou prou à des situations identiques. »

Jérôme Bergé

risque climatique. Classement. Definition. Elargissement du Domaine du Risque. NOUVEAU RISQUE.

Programme sur 4 semaines.

Aujourd’hui, 28 mai 2021 : classement / définition / lecture du risque climatique à partir des cinq facteurs d’élargissement du domaine du risque / illustration du premier facteur d’élargissement à travers la lecture de l’article « Les risques environnementaux pèsent lourds sur les chaînes d’approvisionnement…Et ce sont les consommateurs qui paient. » 28 mai 2021.

La semaine prochaine : illustration du 3ème facteur avec les difficultés à assurer le risque climatique.

Les deux suivantes : gestion du risque climatique ; ses interactions avec la RSE ; comment transformer le risque climatique en opportunité ?

Le risque climatique dans le Top 10 des risques.  

Le changement climatique est dans le top 10 des risques cités par les entreprises dans le baromètre des risques 2021 de l’assureur Allianz. Il baisse passant à la 9e place. La lutte contre le changement climatique n’en reste pas moins une priorité, puisque 2020 a été, ex æquo avec 2016, l’année la plus chaude jamais enregistrée. « Maintenant que la campagne de vaccination contre la Covid-19 est lancée, le changement climatique doit revenir à l’ordre du jour des conseils d’administration en 2021, souligne Michael Bruch, directeur mondial ESG chez AGCS. De nombreuses sociétés doivent adapter leur activité à un monde à faible émission de carbone et les gestionnaires de risques doivent être au cœur de cette transition. »

Une définition

Le risque climatique constitue une catégorie spécifique du risque environnemental au regard de l’amorçage entropique de l’effet de serre par l’activité humaine, principalement les modalités et les volumes actuels de production et de consommation. Ses caractéristiques en font un risque global, aux effets à court, moyen, long et très long terme.

Voir ou revoir le Podcast Chubb sur le risque écologique / sur le blog – Catégorie Risques – Rubrique Risque Environnemental – ou dans les archives septembre 2020.

Elargissement du domaine du risque. Un risque nouveau/potentiel, objectif/subjectif, difficile à assurer, sur le devant de la scène (législateur, médias, affaires).

Lire ou relire les articles sur l’élargissement du périmètre du RM / sur le blog – Catégorie Risques – Rubrique Risque Environnemental – ou dans les archives juin et juillet 2019.

En 30 ans (1990-2020) le risque est devenu une variable stratégique de la réflexion des entreprises sous l’effet de 5 facteurs.

A retrouver en détail dans l’ouvrage ‘La Fonction Risk Manager. Organisation, Méthodes et Positionnement »

https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

Le risque climatique s’inscrit dans cette évolution.

 (1) L’apparition de nouveaux risques avec la multiplication de qualificatifs venus en préciser la nature : environnemental et climatique par exemple. Les entreprises doivent faire face à des risques potentiels plus difficiles à cerner car ils sortent du champ de compétences des experts.

(2) Est ensuite apparue l’idée d’une perception du risque différente selon les individus ou les niveaux dans l’entreprise ; la subjectivité intervient aussi dans la relation de l’entreprise avec les acteurs de la société civile. Elle oblige les entreprises à en tenir compte dans l’évaluation des risques et dans les relations qu’elles entretiennent avec les acteurs de la société civile. Une approche exclusivement objective des catastrophes naturelles (tempêtes, sécheresses, par exemple) ne donnerait qu’une vision partielle, voire erronée de la situation. Les entreprises doivent dorénavant impliquer les acteurs, intégrer les facteurs d’environnement susceptibles d’influencer cette perception (les médias, par exemple) et tenir compte des valeurs et des attentes grandissantes des parties prenantes.

(3) Les entreprises sont amenées à gérer elles-mêmes ces nouveaux risques du fait de la réticence des compagnies d’assurance à les prendre en charge : comment continuer à croire qu’il n’y a pas un « trou énorme » entre la protection des assurances et ce dont les entreprises ont besoin pour couvrir les coûts du risque climatique.

(4) Les « affaires » participent également à cette extension du domaine du risque. Les affaires (contentieux climatique visant le groupe Total par exemple) renforcent l’exigence de conditions nouvelles de transparence des risques de la part des entreprises.

(5) Enfin, depuis 2004, le régulateur, le législateur et les médias ont contribué à la diffusion de l’image d’un monde plus risqué et l’ont amplifiée. Principe de précaution. Article 16 du projet Loi sur le dérèglement climatique intègre ainsi le sujet de la transition écologique parmi les attributions du comité social et économique. Selon cet article, qui n’est encore qu’en projet, chaque thématique faisant l’objet d’une procédure d’information et de consultation du CSE devra prendre en compte les conséquences environnementales des activités de l’entreprise. Il est ainsi proposé que la question de la transition écologique soit désormais pleinement intégrée aux missions du CSE.

De leur côté, les médias amplifient la notion de responsabilité du dirigeant en cas de négligence, et surtout les logiques de compensation.

Face ces deux amplificateurs de risques que sont le régulateur-législateur et les médias, les entreprises sont scrutées.

Nous proposons d’illustrer le premier facteur d’élargissement à travers la lecture de l’article « Les risques environnementaux pèsent lourds sur les chaînes d’approvisionnement…Et ce sont les consommateurs qui paient. »

La semaine prochaine : illustration du 3ème facteur avec les difficultés à assurer le risque climatique.

Les deux suivantes, nous aborderons la gestion du risque climatique et ses interactions avec la RSE / Et comment transformer le risque climatique en opportunité.

LES RISQUES ENVIRONNEMENTAUX PÈSENT LOURDS SUR LES CHAÎNES D’APPROVISIONNEMENT… ET CE SONT LES CONSOMMATEURS QUI PAIENT

Le changement climatique et la perte de biodiversité ont un coût financier pour l’ensemble de la chaîne d’approvisionnement mondiale, souligne un rapport du CDP. Il en coûtera 120 milliards de dollars supplémentaires aux entreprises d’ici 2026, selon l’organisation qui collecte les données environnementales (climat, forêt, eau) de 8 000 fournisseurs. L’industrie manufacturière, l’alimentation et la production seraient les plus touchées.

Inondations marchandises supply chain iStock tieroLe CDP estime que les risques environnementaux pourraient coûter directement 120 milliards de dollars supplémentaires aux grandes entreprises via leur chaine d’approvisionnement.

Pour les cinq prochaines années, l’impact financier du changement climatique, de la déforestation et de l’insécurité hydrique va coûter très cher aux entreprises selon le CDP. Dans son rapport Transparency to transformation : a chain reaction, l’organisation estime ce montant à 1 260 milliards de dollars dont 120 milliards d’euros dus uniquement aux chaînes d’approvisionnements. Pour parvenir à ce montant, CDP a analysé les données environnementales de 8 000 fournisseurs mondiaux.

Le poids de ces derniers est en effet majeur. Ceux-ci peuvent voir leur production stoppée ou retardée par l’augmentation de la gravité et de la fréquence des cyclones et des inondations, subir une hausse du coût des matières premières. Les plus gros acheteurs sont touchés comme L’Oréal, Walmart ou Unilever.

Ces coûts se répercuteront certainement sur les consommateurs, prévient le CDP. « La plupart des chaînes d’approvisionnement fonctionnent avec des marges bénéficiaires très étroites, l’augmentation des coûts devrait être répercutée le long de la chaîne dans un effet domino pour leurs acheteurs« , souligne Maxfield Weiss, le directeur exécutif intérimaire de CDP Europe. Qui ne se risque toutefois pas à donner un ordre de grandeur.

Plus de transparence pour mieux gérer les risques

Les secteurs les plus concernés sont l’industrie manufacturière (64 milliards de dollars), l’alimentation, les boissons et l’agriculture (17 milliards de dollars) ainsi que la production d’électricité (11 milliards de dollars). Certains ont déjà bien identifié le problème et demandent plus de transparence et d’actions de la part de leurs fournisseurs. Sur le climat par exemple, les émissions de gaz à effet de serre de la supply chain sont en moyenne 11,4 fois plus élevées que les émissions directes de l’entreprise. Dans le commerce de détail (magasin de vêtements ou supermarchés), c’est 28 fois plus !

8 000 fournisseurs divulguent désormais leurs émissions de gaz à effet de serre, le volume des matières premières (soja, bois, huile de palme, chocolat ou café…) issues de pays à risques de déforestation ou leur consommation d’eau. Mais les données sont encore trop peu nombreuses et qualitatives pour opérer une gestion des risques réellement efficace et une transformation des business models souligne le CDP.

Dommage car les actions menées chez les fournisseurs peuvent être source d’un « avantage concurrentiel » pour l’ensemble de la chaîne, assure Maxfield Weiss. Le rapport montre que les mesures d’efficacité énergétique des fournisseurs ont permis aux entreprises d’économiser 619 millions de tonnes de CO2 et 33,7 milliards de dollars rien qu’en 2020.

Béatrice Héraud, 

Actualité du risque – blocage du canal de Suez – Nouvelle illustration de l’élargissement du domaine de risque / de l’importance de suivre une à une les étapes de la démarche de gestion des risques / de la transversalité de la Fonction Risk Manager.

Rappel du blocage du canal de Suez par un porte-conteneurs. Lire article ci-dessous.

Elargissement du domaine de risques

Dresser l’histoire récente de la gestion des risques, nous a permis de mettre en évidence les évènements à l’origine de l’intérêt des entreprises pour la démarche de gestion des risques et de l’émergence de la Fonction Risk Manager.

L’élargissement du domaine du risque est un de ces facteurs : diversité des risques ; nouveaux risques ; nouvelles classifications de risques ; risques potentiels.

Aujourd’hui – si j’avais à écrire une nouvelle édition du notre ouvrage…. – j’insisterais sur l’interdépendance entre ces risques et leur effet domino.

Le canal de Suez bloqué par un porte-conteneurs en est une  illustration : risque supply-chain (logistique) qui va entraîner une hausse des prix des produits transportés (vrac, pétrole, EVP…), une dégradation des trésoreries…

La Gestion des Risques

Dans ce contexte de risques transverse, il me semble essentiel de revenir sur l’étape 2 de la démarche de gestion des risques – l’identification des risques passés, présents et émergents – et son principal outil – la cartographie des risques -.

Nicolas Dufour et moi avons consacré plusieurs pages de notre ouvrage commun à cette étape (p.128-136). https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

Nous faisions trois remarques liminaires avant de développer les étapes, méthodes et outils.

« (1) En premier lieu, une question récurrente : gérer la cartographie des risques suppose de gérer des classes différentes. La cartographie et les référentiels de risques entourant ces différentes classes constituent-ils de vrais outils d’aide à la décision ? La réponse est oui, mais à la condition d’en faire un outil institutionnalisé et pas à la seule main du Risk Manager, expert du risque, qui gérerait cela en lieu et place des métiers.

(2) Peut-on vraiment suivre tous les risques dans une cartographie ? La réponse est non : une cartographie est souvent une photo à un instant T, elle est souvent lourde à construire, actualiser et faire valider…Car la cartographie des risques est aussi souvent un outil de traçage de constitution d’historique de sujets potentiels ou avérés à suivre dans le temps, nous préconisons davantage de faire une révision annuelle de chaque classe de risques en cartographie mais de suivre de manière dynamique un top 10 ou un top 30 tout au plus des risques prioritaires à piloter dans l’organisation…En somme, savoir prioriser, ne pas vouloir tout traiter, et ne pas rechercher une théorique exhaustivité est encore un premier exercice de lucidité pour le Risk Manager…

(3) Il existe désormais non pas une mais des cartographies des risques !…L’enjeu est donc désormais pour les entreprises de savoir gérer non pas une mais des cartographies de risque, avec des enjeux complémentaires et une véritable exigence de synthèse en vue de pouvoir présenter une cartographie tous risques à la gouvernance de l’entreprise, aussi appelé profil de risque consolidé/profil tous risques.

La Fonction Risk Manager

Nous écrivions également : « La journée du Risk Manager n’est jamais la même, il peut être confronté à des risques Ressources Humaines, à des risques de fraude, à des risques financiers, à des risques projets, à des risques stratégiques ou commerciaux sur lesquels des analyses de risque, expertises sont sollicitées.  Cette diversité rend la fonction passionnante mais montre la difficulté de la tâche.  La Fonction Risk Manager…est sûrement l’une des fonctions les plus transverses de l’entreprise. »

https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

Le canal de Suez bloqué par un porte-conteneurs d’Evergreen

Publié le 24/03/2021

L’Ever Given, navire de 20 388 EVP et long de 400 mètres, s’est mis en travers du canal le mardi 23 mars au petit matin, bloquant la voie par laquelle transite 10 % du commerce mondial. Dans la matinée du 24 mars, le navire a été sorti du pétrin mais le canal restera bloqué tant qu’il n’aura pas été positionné ailleurs.

« Le porte-conteneurs s’est échoué accidentellement, probablement après avoir été frappé par une rafale de vent », a déclaré un porte-parole d’Evergreen, n° 7 mondial du conteneur. L’incident s’est produit dans la section sud, au km 151, non loin de l’entrée côté mer Rouge, alors que le navire en provenance d’Asie faisait route vers le nord avec Rotterdam comme prochaine escale. Des vents de plus de 50 km par heure et une tempête de sable ont été constatés ce jour-là autour du canal. Le navire s’est retrouvé complètement en travers avec sa proue enfoncée dans la rive est et sa poupe qui touche presque l’autre côté.

Livré en 2018, l’Ever Given appartient à l’armateur japonais Shoei Kisen, fidèle partenaire d’Evergreen qui lui affrète à long terme. Le navire est géré techniquement depuis Hong Kong par l’armateur allemand Bernhardt Schulte shipmanagement.

Déjà de nombreux retards 

Huit remorqueurs de l’Autorité du canal et de Svitzer ont été mobilisés pour essayer de remettre le navire en ordre de marche. Le spécialiste néerlandais Smit salvage a aussi dépêché une équipe sur place. Les autorités égyptiennes ont fermé le canal pour deux jours, ont-elles indiqué le 24 mars même si dans la soirée le transit des navires descendants (vers la mer Rouge) était de nouveau autorisé, avec probablement une attente dans le Grand lac Amer. Les remorqueurs ont réussi à remettre l’Ever Given en meilleure posture en fin de matinée du 24 mars.

Mais là où se trouve le navire, le trafic du canal restera bloqué tant que le porte-conteneurs n’aura pas été déplacé vers un site où il ne gênera pas le passage des convois. Des navires par dizaines sont en attente de pouvoir emprunter le canal de Suez, d’autres ont ralenti pour ne pas y arriver trop vite. Et même si le canal rouvre, il faudra plusieurs jours pour résorber le bouchon alors que la chaîne logistique Asie – Europe est déjà victime de nombreux retards (à lire également dans « le marin » hebdo du 25 mars).

Dans un communiqué destiné à ses clients, le n° 2 mondial du conteneur MSC reconnaît que « les principales compagnies maritimes ont été impactées par le blocage du navire « Ever Given » dans le canal de Suez, un axe majeur pour le commerce international. En tant qu’utilisateur régulier du canal, MSC surveille très attentivement la situation afin de mesurer l’impact sur la circulation de ses conteneurs et de pouvoir envisager des plans d’urgence de sa flotte ou de ses services en cas de besoin. Les clients de MSC dont l’expédition doit transiter par le canal dans les jours à venir doivent se préparer à d’éventuels changements de programme ».

75 incidents en dix ans

L’année dernière, 18 829 navires ont emprunté le canal, selon l’Autorité du canal de Suez (SCA), rapportant à l’Égypte 5,61 milliards de dollars de recettes. Cela représente 51 navires par jour en moyenne. Des échouements se produisent régulièrement mais sont généralement réglés en quelques heures, sans perturber la circulation. Cet incident est le plus grave depuis juillet 2018 quand trois vraquiers et deux porte-conteneurs avaient été mêlés à une collision, interrompant la circulation sur la section sud. Jamais un navire de cette taille ne s’était encore échoué sur le canal en plus de 150 ans de navigation à Suez.

Au total, selon l’assureur Allianz global corporate & speciality, 75 incidents de navigation, dont 25 échouements et 21 pannes de machine, ont été signalés dans le canal au cours de la dernière décennie. Plus d’un tiers (28) impliquaient des porte-conteneurs. Entre 2013 et 2016, il y avait une moyenne de 12 incidents de navigation par an, mais les chiffres ont diminué depuis. La moyenne sur 10 ans est de 8 incidents par an. Une seule perte totale d’un navire a été signalée dans le canal de Suez au cours de la dernière décennie, en 2010. La perte totale dans le canal de Suez était un cargo appelé Maryam qui a coulé après avoir chargé du bitume.

Le hasard fait qu’un autre incident s’est produit aussi le même jour, dans le golfe de Suez. En cause cette fois, selon l’agence russe Interfax, une collision entre un pétrolier militaire russe de la flotte baltique, le Kola, qui revenait d’un exercice au Soudan, et un vraquier de 47 000 tpl sous pavillon de la Barbade, l’Ark Royal.

Thibaud TEILLARD

ASSURANCES & RISQUES. MARCHE DES ASSURANCES. CYBERRISQUE et assurances.

Mardi dernier (2 mars) nous avons analysé à travers deux articles le point de vue des entreprises d’assurances. Nous analysons aujourd’hui le marché de l’assurance et illustrons ses tensions à travers l’exemple du Cyberrisque.

Lecture complémentaire / assureurs-nouveaux risques-risque au cœur de la réflexion organisationnelle des entreprises Chapitre 1, p.29-46 : https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

Les prix s’enflamment dans l’assurance de risques industriels

Après quinze ans de calme plat, les prix sur le marché de l’assurance des risques industriels repartent à la hausse.

Après quinze ans de calme plat, le marché de l’assurance des risques industriels est en train de s’enflammer. Selon plusieurs acteurs, les prix connaissent depuis l’an dernier une remontée spectaculaire sur fond d’augmentation des coûts des sinistres, de baisse de capacités et de pression réglementaire.

« Depuis 2003, le marché de l’assurance industrielle était favorable au client, constate Laurent Belhout, directeur général de la filiale française du courtier américain AON. Mais depuis l’année dernière, il y a un tournant : on constate des hausses de plus de 10 % sur les risques industriels. »

L’assureur Zurich se prépare même à des hausses de prix de 20 à 40 % contre les risques d’interruption d’activités, d’incendie ou de cyberattaque. « La dernière fois que ce genre de marché a vraiment existé, c’était en 2002 », a déclaré mardi, à Bloomberg, James Shea, responsable de l’assurance commerciale chez Zurich.

Ce mouvement met fin à une période durant laquelle les primes d’assurance de grands risques avaient baissé de 40 %, après 2003. Une réaction elle-même liée à la flambée de 80 % qui avait eu lieu dans les deux ans après les attentats du 11 septembre 2001 . Mais aussi à la nouvelle donne du marché, marqué par une abondance d’offre.

« Surtout depuis la crise financière, une foultitude de capitaux sont venus financer l’assurance et la réassurance, créant des capacités supplémentaires et alimentant la compétition entre les acteurs », explique Brigitte Bouquot, présidente de l’Association pour le management des risques et des assurances de l’entreprise (AMRAE).

Mais ces derniers mois, les assureurs comme AXA XL ou Allianz ont changé d’attitude sous la pression de deux facteurs, explique-t-elle. Premièrement, les catastrophes naturelles, incendies et autres incidents , couplés à la judiciarisation des affaires (« class actions »…) ont renchéri le coût des dommages portés par les assureurs.

Deuxièmement, les nouvelles règles prudentielles de Solvabilité II ont obligé les assureurs à mettre plus de capital pour couvrir les risques au moment où ceux-ci se trouvent confrontés à l’interdépendance croissante de la mondialisation. Face à des scénarios systémiques sur lesquels ils n’ont pas forcément de données, ils sont plus frileux.

Thibaut Madelin. Janv. 2020.

Cyberrisque : la grande peur des assureurs

Le risque cyber est devenu la première menace des entreprises dans le monde, selon le baromètre Allianz. Les assureurs traînent des pieds pour couvrir ce nouveau risque systémique

Le risqu courtiers, selon le baromètre Allianz Global. (Photo Getty

Pour les dirigeants de Travelex, le premier réseau mondial de bureaux de change, le réveillon a dû être pénible. Le 31 décembre, des pirates ont injecté dans ses serveurs le virus informatique Sodinokibi et demandé une rançon ou menacé de publier des données privées de milliers de clients. Selon les médias, ils ont réclamé jusqu’à 6 millions de dollars. La société britannique dit avoir réussi à empêcher la propagation du virus, mais la révélation de l’attaque a fait chuter son cours de près de 17 % le 8 janvier.

Après l’attaque sur la banque américaine Capital One , qui s’est fait voler les données de 106 millions de clients l’été dernier, le cas Travelex illustre la montée des incidents cyber. Ceux-ci figurent pour la première fois en tête du baromètre annuel des risques qu’Allianz publie ce mardi (2700 experts du risque interrogés dans une centaine de pays). « Les incidents cyber et le changement climatique sont deux grands défis que les entreprises devront surveiller étroitement dans cette nouvelle décennie », annonce Joachim Müller, directeur général d’Allianz Global Corporate & Specialty (AGCS).

Mais alors que les risques cyber augmentent, les assureurs traînent des pieds. En France, Allianz constate ainsi une réduction des capacités disponibles par assureur et un début de hausse des primes. « C’est tout le paradoxe, regrette Léopold Larios de Piña, pilote de l’Observatoire des primes et assurances de l’AMRAE, l’Association pour le management des risques et des assurances de l’entreprise. Pendant dix ans, les assureurs ont voulu vendre des assurances cyber et au moment où les clients sont prêts à souscrire, ils commencent à voir les sinistres et excluent les risques à traiter. »

Des garanties en baisse

Selon l’association, alors que les assureurs étaient prêts à prendre un France un engagement de garanties de 25 à 30 millions auprès d’un client, ils ont limité leur engagement de moitié dans les derniers contrats. « Nous sommes passés d’une période où les assureurs se frottaient les mains face aux nouveaux risques à une période où ils sont plus frileux », déclare Brigitte Bouquot, présidente de l’AMRAE et administratrice des filiales d’assurance de Thales. S’il y a un choc, ce sont les entreprises qui devront le porter sur leur bilan. »

En 2017, Saint-Gobain a ainsi perdu 220 millions d’euros de chiffre d’affaires après la cyberattaque NotPetya. L’industriel n’était pas assuré contre ce risque précis et a revu depuis sa politique. Mais ceux qui l’étaient ont aussi gardé un goût amer. Attaqué par le même « ransomware » , le cabinet d’avocats américain DLA Piper a poursuivi son assureur, Hiscox, qui a refusé de payer le sinistre. Le géant de l’agroalimentaire Mondelez est lui aussi en litige avec son assureur, Zurich, qui refuse d’indemniser 100 millions de dollars de pertes et de dommages (se retranchant derrière le fait que l’attaque aurait été menée par un Etat, la Russie).

Or le risque ne cesse de croître. Selon IBM, une violation majeure de données, portant sur plus d’un million d’enregistrements compromis, coûte en moyenne 42 millions de dollars, soit 8 % de plus que l’année précédente. Les assureurs sont en train de prendre conscience de la dimension systémique du risque cyber. « C’est vraiment un risque global, plus encore que le nucléaire car, dans le cyber, la catastrophe est partout », témoigne le patron d’un grand groupe d’assurance.

Prévention

Du coup, les assureurs se trouvent au milieu du gué. « Le cyberrisque était largement garanti dans les contrats globaux de responsabilité civile (RC), indique Laurent Belhout, directeur général du courtier AON en France. Les assureurs vont l’exclure de la RC » et le traiter de façon autonome.

Dans l’immédiat, certains risques ne sont pas couverts car difficiles à qualifier. Par exemple : dans le cas d’une fraude sur paiement par carte dans l’avion, l’assureur pourrait le classer dans le risque aéronautique (si le paiement a lieu dans les airs) ou cyber (pour un paiement au sol), voire en responsabilité civile.

Ils mettent aussi l’accent sur la prévention. « L’assurance a un rôle vital à jouer pour aider les entreprises si toutes les autres mesures sont insuffisantes, mais ça ne doit pas remplacer la gestion stratégique du risque », insiste Marek Stanislawski, directeur mondial adjoint du risque cyber chez AGCS. De son côté, AXA XL va lancer avec Accenture un service de conseil aux entreprises sur la menace cyber. Pour Brigitte Bouquot, cela ne suffira pas. « Les assureurs doivent dire ce qu’ils veulent faire de ce nouveau risque », dit-elle.

Thibaut Madelin. Janv. 2020

AMRAE – La sagesse du risque, pour une immunité collective – 3-4 février 2021. Ce qui se cache derrière ce titre. A lire et re (voir).

Merci à Cécile DESJARDINS de relayer mes propos dans son article « Management du Risques : le retour de l’humilité. » Les Echos, 3 février 2021.

2020 : année stratégique pour le Risk Management et le Risk Manager. Le RM a gagné en légitimité cognitive (Suchman, 1995). Elle est le « graal de la légitimité » : écoute encore plus attentive de la DG, accès renforcé aux opérationnels, une fonction plus visible. En montrant quel était son rôle, le RM a également gagné en légitimité personnelle : expérience, connaissance de son groupe, de son activité et des opérations, sens de la communication pour se faire entendre en toute liberté de la DG et des opérationnels (sensibiliser, faire prendre conscience des risques, alerter tout en sachant rassurer).

A lire : le dossier RISK MANAGEMENT 2021, Les Echos, 3 février 2021.

Le rendez-vous annuel des responsables des risques en entreprise ne s’est pas tenu à Deauville cette année. Face à une pandémie à rebonds, l’AMRAE (Association pour la Gestion des risques et des Assurances dans les Entreprises) a choisi une rencontre en ligne pour faire le point sur les grands enjeux de la profession, mise à l’épreuve par une crise mondiale sans précédent.

A (re)voir : les REPLAYS des tables rondes. Gratuitement – il suffit de s’inscrire) à cette adresse : https://lnkd.in/eEpjQSy

Exemples de thèmes abordés : Risques, climat et RSE ; Risques RH et associés ; Cyberrisque ; Gestion globale des risques ; Financement des risques par les assureurs intégrant le riskmanagement.

Ces thèmes, à l’exception du dernier, ont fait l’objet de nombreux articles dans ce blog (voir Archives ou moteur de recherche). Je décris pourtant la logique de transfert du risque des assureurs vers les entreprises comme le 3ème facteur ayant contribué à faire du risque, une variable stratégique de la réflexion des entreprises. Je l’aborderai dans les publications des semaines à venir sur le blog.

https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

RGPD. BEST-PRACTICES ET PLANS D’ACTIONS

Le mois de janvier est consacré au RGDP, que j’appelle dans mes travaux un amplificateur de risques (p.47, chapitre 1) / https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html
Après le rappel du contexte réglementaire, les 1eréléments de bilan 2020 et les sanctions (Carrefour et Carrefour Banque, Google, H&M) je vous propose, à partir d’éléments communiqués par l’entreprise toulousaine I-Trust (Editeur de solutions de Cybersécurité), une synthèse de best practices issues des règles de l’ANSSI et des recommandations de la CNIL. Autant de best pratices à suivre et de plans d’actions à mettre en œuvre.

Les règles de conformité RGPD imposent aux entreprises de se sécuriser selon les meilleures pratiques issues des :

Les règles d’hygiènes et bonnes pratiques de l’ANSSI

# 4 : Identifier les informations et serveurs les plus sensibles et maintenir un schéma du réseau.

Maintenir la cartographie du SI et des informations sensibles via les tags RGPD.

# 5 : Disposer d’un inventaire des comptes privilégiés et les maintenir à jour.

Identifier les comptes privilégiés et de vérifier en continu leur mise à jour. 

# 7 : Autoriser la connexion au réseau de l’entité aux seuls équipements maîtrisés.

Détecter la connexion d’appareils étrangers au SI.

#8 : Identifier nommément chaque personne accédant au système et distinguer les rôles utilisateur/administrateur. Journalisation activée.

Détecter les comportements malveillants sur les opérations de comptes et les partages réseaux. 

Détecter les bruits de force de compte. 

# 10 : Définir et vérifier des règles de choix et de dimensionnement des mots de passe.

Détecter des mots de passe triviaux actifs sur le réseau.

# 12 : Changer les éléments d’authentification par défaut sur les équipements et services.

Détecter les mots de passe par défaut sur les équipements et services.

# 14 : Mettre en place un niveau de sécurité minimal sur l’ensemble du parc informatique. Cette règle concerne essentiellement des points de configuration (chiffrement disque, désactivation autorun, etc.).

# 18 : Chiffrer les données sensibles transmises par voie Internet.

Détecter la présence de services d’échange ou d’interface de connexion non sécurisés.

# 20 : S’assurer de la sécurité des réseaux d’accès Wi-Fi et de la séparation des usages.

Scanner la sécurité des équipements impliqués dans le WiFi (bornes, routeur, etc.)

#21 : Utiliser des protocoles réseaux sécurisés dès qu’ils existent.

Détecter les services en écoute qui ne garantissent pas la sécurité des transmissions.

# 22 : Mettre en place une passerelle d’accès sécurisé à Internet.

Scanner la sécurité de cette passerelle.

#34 : Définir une politique de mise à jour des composants du système d’information.

Détecter les problèmes d’obsolescence des composants.

#36 : Activer et configurer les journaux des composants les plus importants.

Effectuer une étude contextuelle du SI. Journaliser les éléments suivants : > pare-feu : paquets bloqués ; > systèmes et applications : authentifications et autorisations (échecs et succès), arrêts inopinés ; > services : erreurs de protocoles (par exemples les erreurs 403, 404 et 500 pour les services HTTP), traçabilité des flux applicatifs aux interconnexions (URL sur un relai HTTP, en-têtes des messages sur un relai SMTP, etc.). Pour se faire un centre opérationnel de sécurité doit être installé. 

#38 : Procéder à des contrôles et audits de sécurité régulier puis appliquer les actions correctives associées.

Auditer le réseau en continu et éliminer les vulnérabilités évidentes pour que les auditeurs puissent se concentrer sur les failles cachées.

Procéder à des contrôles et audits de sécurité réguliers pour appliquer les actions correctives associées. 

# 40 : Définir une procédure de gestion des incidents.

Surveiller en continu toute intrusion ou malveillance présente sur le SI.

# 42 : Privilégier l’usage de produits et de services qualifiés par l’ANSSI.

Obtenir la certification CSPN.

Les règles de la CNIL. Les fiches CNIL sur la sécurité des données personnelles. 

#Fiche 1 : Sensibiliser les utilisateurs

Formation au RGPD pour faire le point sur les nouvelles règles et connaître les outils qui sont obligatoires depuis mai 2018, afin de lancer la mise en conformité au plus tôt dans votre organisme.

Cette formation est adressée aux CIL/DPO/DSI/RSSI/Responsable qualité et conformité.

#Fiche 2 : Authentifier les utilisateurs.

Cartographie de l’ensemble du SI permettant de détecter la connexion d’appareils étrangers au SI. Il permet de détecter les protocoles d’accès et d’authentification (ssh/smtp/FTP/…)

#Fiche 3 : Gérer les habilitations.

#Fiche 4 : Tracer les accès et gérer les incidents.

#Fiche 5 : Sécuriser les postes de travail. 

#Fiche 6 : Sécuriser l’informatique mobile. 

#Fiche 7 : Protéger le réseau informatique interne.

#Fiche 8 : Sécuriser les serveurs.

#Fiche 9 : Sécuriser les sites web.

Cartographie de l’ensemble du réseau. Note de criticité et correctifs associés. Identification des vulnérabilités et logiciels non mis à jour de la plupart des périphériques et applications, y compris les firewalls, les serveurs, les systèmes d’exploitation de bureau, les imprimantes, les appareils sans fil, ainsi que de nombreux autres éléments.

RGPD. SANCTIONS. CARREFOUR. GOOGLE. H&m.

Le mois de janvier est consacré au RGDP, que j’appelle dans mes travaux un amplificateur de risques (p.47, chapitre 1) / https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

Au programme :

  • article / sanctions Carrefour France (2,25 millions euros) et Carrefour Banque (800 000 euros) / avec les délibérations et pour approfondir les références aux articles de la CNIL
  • article / sanctions Google LLC (60 millions d’euros) et Google Ireland Limited (40 millions d’euros)
  • article sanctions H&M (35 millions d’euros)

Sanctions de 2 250 000 euros et de 800 000 euros pour les sociétés CARREFOUR FRANCE et CARREFOUR BANQUE

26 novembre 2020


Saisie de plusieurs plaintes, la CNIL a sanctionné deux sociétés du groupe CARREFOUR pour des manquements au RGPD concernant notamment l’information délivrée aux personnes et le respect de leurs droits.

Saisie de plusieurs plaintes à l’encontre du groupe CARREFOUR, la CNIL a effectué des contrôles entre mai et juillet 2019 auprès des sociétés CARREFOUR FRANCE (secteur de la grande distribution) et CARREFOUR BANQUE (secteur bancaire). À cette occasion, la CNIL a constaté des manquements concernant le traitement des données des clients et des utilisateurs potentiels. La Présidente de la CNIL a donc décidé d’engager une procédure de sanction à l’encontre de ces sociétés.

À l’issue de cette procédure, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a effectivement considéré que les sociétés avaient manqué à plusieurs obligations prévues par le RGPD.

Elle a ainsi sanctionné la société CARREFOUR FRANCE d’une amende de 2 250 000 euros et la société CARREFOUR BANQUE d’une amende de 800 000 euros. En revanche, elle n’a pas prononcé d’injonction dès lors qu’elle a constaté que des efforts importants avaient permis la mise en conformité sur tous les manquements relevés.

Des manquements à l’obligation d’informer les personnes (article 13 du RGPD)

L’information fournie aux utilisateurs des sites carrefour.fr et carrefour-banque.fr comme aux personnes désirant adhérer au programme de fidélité ou à la carte Pass n’était pas facilement accessible (accès à l’information trop compliqué, dans des documents très longs contenant d’autres informations), ni facilement compréhensible (information rédigée en des termes généraux et imprécis, utilisant parfois des formulations inutilement compliquées). De plus, elle était incomplète en ce qui concerne la durée de conservation des données.

Concernant le site carrefour.fr, l’information était également insuffisante en ce qui concerne les transferts de données hors de l’Union européenne et la base légale des traitements (fichiers).

Sur ce point, les sociétés ont modifié leurs mentions d’information et sites web durant la procédure pour se mettre en conformité.

Des manquements relatifs aux cookies (article 82 de la loi Informatique et Libertés)

La CNIL a constaté que, lorsqu’un utilisateur se connectait au site carrefour.fr ou au site carrefour-banque.fr, plusieurs cookies étaient automatiquement déposés sur son terminal, avant toute action de sa part. Plusieurs de ces cookies servant à la publicité, le consentement de l’utilisateur aurait pourtant dû être recueilli avant le dépôt.

Les sociétés ont modifié, durant la procédure, le fonctionnement de leurs sites web. Plus aucun cookie publicitaire n’est désormais déposé avant que l’utilisateur n’ait donné son accord.

Un manquement à l’obligation de limiter la durée de conservation des données (article 5.1.e du RGPD)

La société CARREFOUR FRANCE ne respectait pas les durées de conservation des données qu’elle avait fixées. Les données de plus de vingt-huit millions de clients inactifs depuis cinq à dix ans étaient ainsi conservées dans le cadre du programme de fidélité. Il en était de même pour 750 000 utilisateurs du site carrefour.fr inactifs depuis cinq à dix ans.

Par ailleurs, en l’espèce, la formation restreinte considère qu’une durée de conservation de 4 ans des données clients après leur dernier achat est excessive. En effet, cette durée, initialement retenue par la société, excède ce qui apparaît nécessaire dans le domaine de la grande distribution, compte tenu des habitudes de consommation des clients qui font principalement des achats réguliers. 

Pendant la procédure, la société CARREFOUR FRANCE a engagé d’importants moyens pour procéder aux modifications nécessaires à sa mise en conformité avec le RGPD. Toutes les données trop anciennes ont notamment été supprimées.

Un manquement à l’obligation de faciliter l’exercice des droits (article 12 du RGPD)

La société CARREFOUR FRANCE exigeait, sauf pour l’opposition à la prospection commerciale, un justificatif d’identité pour toute demande d’exercice de droit. Cette demande systématique n’était pas justifiée dès lors qu’il n’existait pas de doute sur l’identité des personnes exerçant leurs droits. Par ailleurs, la société n’a pas été en mesure de traiter dans les délais exigés par le RGPD plusieurs demandes d’exercice de droits.

Sur ces deux points, la société a modifié ses pratiques durant la procédure. Elle a notamment déployé d’importants moyens humains et organisationnels pour répondre à l’ensemble des demandes reçues dans un délai inférieur à un mois.

Un manquement au respect des droits (articles 15, 17 et 21 du RGPD et L34-5 du Code des postes et des communications électroniques)

Tout d’abord, la société CARREFOUR FRANCE n’a pas donné suite à plusieurs demandes de personnes souhaitant accéder à leurs données personnelles. La société s’est rapprochée de toutes les personnes concernées durant la procédure.

Ensuite, dans plusieurs cas, la société n’a pas procédé à l’effacement de données demandé par plusieurs personnes alors qu’elle aurait dû le faire. Sur ce point également, la société a fait droit à toutes les demandes durant la procédure.

Enfin, la société n’a pas pris en compte plusieurs demandes de personnes s’étant opposées à recevoir de la publicité par SMS ou courrier électronique, notamment en raison d’erreurs techniques ponctuelles. La société s’est mise en conformité durant la procédure sur ce point également.

Un manquement à l’obligation de traiter les données de manière loyale (article 5 du RGPD)

Lorsqu’une personne souscrivant à la carte Pass (carte de crédit pouvant être rattachée au compte fidélité) souhaitait également adhérer au programme de fidélité, elle devait cocher une case indiquant qu’elle acceptait que CARREFOUR BANQUE communique à « Carrefour fidélité » son nom, son prénom et son adresse de courrier électronique. CARREFOUR BANQUE indiquait explicitement qu’aucune autre donnée n’était transmise. La CNIL a pourtant constaté que d’autres données étaient transmises, comme l’adresse postale, le numéro de téléphone et le nombre de ses enfants, bien que la société se fût engagée à ne transmettre aucune autre donnée.

Sur ce point, la société a modifié ses pratiques durant la procédure. Elle a entièrement refondu son parcours de souscription en ligne à la carte Pass et les personnes sont désormais informées de l’ensemble des données transmises à la société CARREFOUR FRANCE.

Les délibérations

> Délibération de la formation restreinte n° SAN-2020-008 du 18 novembre 2020 concernant la société CARREFOUR FRANCE 

> Délibération de la formation restreinte n° SAN-2020-009 du 18 novembre 2020 concernant la société CARREFOUR BANQUE 

Pour approfondir

> La procédure de sanction

Les textes de référence

> Article 5 du règlement général sur la protection des données (principes relatifs au traitement des données personnelles) 

> Article 5.1.e du RGPD (conservation des données) 

> Article 12 du RGPD (transparence des informations et des communications et modalités de l’exercice des droits de la personne concernée) 

> Article 13 du RGPD (informations à fournir lorsque des données personnelles sont collectées auprès de la personne concernée) 

> Article 15 du RGPD (droits de la personne concernée) 

> Article 17 du RGPD (droit à l’effacement ou droit à l’oubli) 

> Article 21 du RGPD (droit d’opposition) 

> Article 82 de la loi Informatique et Libertés (droits et obligations propres aux traitements dans le secteur des communications électroniques) 

> Article L34-5 du Code des postes et des communications électroniques 

Cookies : sanction de 60 millions d’euros à l’encontre de GOOGLE LLC et de 40 millions d’euros à l’encontre de GOOGLE IRELAND LIMITED

10 décembre 2020

Le 7 décembre 2020, la formation restreinte de la CNIL a sanctionné les sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED d’un montant total de 100 millions d’euros d’amende, notamment pour avoir déposé des cookies publicitaires sur les ordinateurs d’utilisateurs du moteur de recherche google.fr sans consentement préalable ni information satisfaisante.

Le 16 mars 2020, la CNIL a effectué un contrôle en ligne sur le site web google.fr qui a permis de constater que lorsqu’un utilisateur se rendait sur ce site, des cookies étaient automatiquement déposés sur son ordinateur, sans action de sa part. Plusieurs de ces cookies poursuivaient un objectif publicitaire.

Les manquements à la loi Informatique et Libertés

La formation restreinte, organe de la CNIL chargé de prononcer les sanctions, a relevé trois violations à l’article 82 de la loi Informatique et Libertés :

Un dépôt de cookies sans recueil préalable du consentement de l’utilisateur

Lorsqu’un utilisateur se rendait sur la page google.fr, plusieurs cookies poursuivant une finalité publicitaire étaient automatiquement déposés sur son ordinateur sans action de sa part.

Ce type de cookies ne pouvant être déposé sans que l’utilisateur ait exprimé son consentement, la formation restreinte a considéré que les sociétés n’avaient pas respecté l’exigence prévue par l’article 82 de la loi Informatique et Libertés de recueil préalable du consentement avant le dépôt de cookies non essentiels au service.

Un défaut d’information des utilisateurs du moteur de recherche google.fr

Lorsqu’un utilisateur se rendait sur la page google.fr, un bandeau d’information s’affichait en pied de page, portant la mention suivante « Rappel concernant les règles de confidentialité de Google » en face de laquelle figuraient deux boutons intitulés « Me le rappeler plus tard » et « Consulter maintenant ».

Ce bandeau ne fournissait à l’utilisateur aucune information relative aux cookies qui avaient pourtant déjà été déposés sur son ordinateur, dès son arrivée sur le site. Cette information ne lui était pas non plus fournie lorsqu’il cliquait sur le bouton « Consulter maintenant ».

La formation restreinte a donc estimé que l’information fournie par les sociétés ne permettait pas aux utilisateurs résidant en France d’être préalablement et clairement renseignés quant au dépôt de cookies sur leur ordinateur ni, par conséquent, des objectifs de ces cookies et des moyens mis à leur disposition quant à la possibilité de les refuser.

La défaillance partielle du mécanisme « d’opposition »

Lorsqu’un utilisateur désactivait la personnalisation des annonces sur la recherche Google en recourant au mécanisme mis à sa disposition à partir du bouton « Consulter maintenant », un des cookies publicitaires demeurait stocké sur son ordinateur et continuait de lire des informations à destination du serveur auquel il est rattaché.

La formation restreinte a donc estimé que le mécanisme « d’opposition » mis en place par les sociétés était partiellement défaillant, en violation de l’article 82 de la loi Informatique et Libertés.

La sanction prononcée par la formation restreinte

La formation restreinte a sanctionné la société GOOGLE LLC d’une amende de 60 millions d’euros et la société GOOGLE IRELAND LIMITED d’une amende de 40 millions d’euros, rendues publiques.

La formation restreinte a justifié ces montants au regard de la gravité du triple manquement précité à l’article 82 de la loi Informatique et Libertés.

Elle a également souligné la portée du moteur de recherche Google Search en France et le fait que les pratiques des sociétés ont affecté près de cinquante millions d’utilisateurs.

Enfin, elle a relevé les bénéfices considérables que les sociétés tirent des revenus publicitaires indirectement générés à partir des données collectées par ces cookies publicitaires.

La formation restreinte a pris acte que, depuis une mise à jour de septembre 2020, les sociétés cessent de déposer automatiquement les cookies publicitaires dès l’arrivée de l’utilisateur sur la page google.fr.

Elle a néanmoins relevé que le nouveau bandeau d’information mis en œuvre par les sociétés lors de l’arrivée sur la page google.fr ne permettait toujours pas aux utilisateurs résidant en France de comprendre les finalités pour lesquelles les cookies sont utilisés et ne les informait pas du fait qu’ils pouvaient refuser ces cookies.

Dès lors, en complément des amendes administratives, la formation restreinte a également adopté une injonction sous astreinte afin que les sociétés procèdent à une information des personnes conforme à l’article 82 de la loi Informatique et Libertés dans un délai de 3 mois à compter de la notification. Dans le cas contraire, les sociétés s’exposeront au paiement d’une astreinte de 100 000 euros par jour de retard.

Une compétence de la CNIL 

Dans sa délibération, la formation restreinte a rappelé que la CNIL est matériellement compétente pour contrôler et sanctionner les cookies déposés par les sociétés sur les ordinateurs des utilisateurs résidant en France. Elle a souligné ainsi que le mécanisme de coopération prévu par le RGPD (mécanisme de « guichet unique ») n’avait pas vocation à s’appliquer dans cette procédure étant donné que les opérations liées à l’utilisation des cookies relèvent de la directive « ePrivacy », transposée à l’article 82 de la loi Informatique et Libertés.

Elle a considéré qu’elle est également territorialement compétente en application de l’article 3 de la loi Informatique et Libertés car le recours à des cookies est effectué dans le « cadre des activités » de la société GOOGLE FRANCE qui constitue « l’établissement » sur le territoire français des sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED et y assure la promotion de leurs produits et services.

Elle a également estimé que les sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED sont conjointement responsables dès lors qu’elles déterminent toutes les deux les finalités et les moyens liés à l’usage des cookies.

L’articulation de la sanction avec les travaux de la CNIL sur les cookies

Dans le cadre de son plan d’action sur le ciblage publicitaire et pour tenir compte de l’entrée en application du RGPD, la CNIL a publié le 1er octobre 2020 ses lignes directrices modificatives ainsi qu’une recommandation portant sur l’usage de cookies et autres traceurs. La CNIL a demandé aux acteurs de se conformer aux règles ainsi clarifiées, en estimant que cette période d’adaptation ne devrait pas dépasser six mois.

À cette occasion, elle a néanmoins précisé qu’elle continuerait notamment à contrôler pleinement le respect des autres obligations qui n’ont fait l’objet d’aucune modification et le cas échéant, d’adopter des mesures correctrices pour protéger la vie privée des internautes.

Les obligations dont la CNIL sanctionne aujourd’hui le non-respect par les sociétés préexistaient au RGPD et ne font donc pas partie de celles qui ont été clarifiées par les nouvelles lignes directrices et la recommandation du 1er octobre 2020.

Note : La société GOOGLE LLC, établie en Californie, développe le moteur de recherche Google Search. La société GOOGLE IRELAND LIMITED, dont le siège est en Irlande, se présente comme le siège européen du groupe Google. La société GOOGLE FRANCE est l’établissement en France de la société GOOGLE LLC.

Une amende de 35 millions d’euros pour H&M qui a stocké les données personnelles des salariés

Ces faits ont été dévoilés en octobre 2019, lorsqu’une erreur informatique les a rendus accessibles, pendant quelques heures, à l’ensemble de l’entreprise.     

Une amende de plus de 35 millions d’euros a été prononcée contre l’enseigne H&M en Allemagne jeudi. Le groupe a été condamné pour avoir rassemblé et stocké des informations sur une centaine de salariés.

L’Allemagne a infligé jeudi une amende sans précédent de 35,3 millions d’euros au groupe de prêt-à-porter H&M, pour avoir enregistré des données privées de certains salariés à leur insu, a annoncé le centre de protection des données du pays jeudi.

« Large connaissance » de la vie privée des employés

« Une amende de 35 258 707,95 euros est requise contre H&M (…) pour une affaire de surveillance de plusieurs centaines de ses collaborateurs », a indiqué le Commissariat à la protection des données de Hambourg. Il s’agit du montant le plus important infligé par l’Allemagne à une entreprise au nom de la législation européenne sur la protection des données privées (RGPD), depuis son entrée en vigueur en 2018, a indiqué une porte-parole de l’institution.

Les autorités reprochent au groupe de prêt-à-porter d’avoir laissé des responsables d’un site H&M, à Nuremberg (sud), rassembler et stocker des informations sur leurs salariés, entre 2014 et 2019. « Certains de ces supérieurs ont acquis une large connaissance de la vie privée de leurs employés », a constaté le centre de protection.

Une erreur informatique

Après l’absence d’un collaborateur, les responsables du site organisaient systématiquement un entretien, traitant « des vacances », ou des « symptômes et diagnostics » du salarié, en cas de congés maladie. Ces informations étaient ensuite « enregistrées », stockées numériquement, et servaient à « établir des profils individuels ».

H&M insiste sur l’aspect « local » de ces pratiques

Les supérieurs obtenaient également des éléments de vie privée de leurs collaborateurs lors de discussions informelles, notamment sur des « problèmes familiaux », ou des « croyances religieuses ». Ces données étaient ensuite « disponibles à la lecture pour jusqu’à 50 responsables du groupe ».

Réagissant à la décision des autorités allemandes, la marque de prêt-à-porter a présenté ses excuses pour des faits qu’elle estime « non conformes aux directives et instructions » du groupe. H&M insiste sur l’aspect « local » de ces pratiques, et affirme avoir « signalé immédiatement les faits » aux autorités, après en avoir pris connaissance.

Ces faits ont été dévoilés en octobre 2019, lorsqu’une erreur informatique les a rendus accessibles, pendant quelques heures, à l’ensemble de l’entreprise. 

L’Europe veut protéger la vie privée

Le Règlement européen de protection des données a renforcé les obligations des entreprises en termes de protection de la vie privée. Il prévoit des amendes pouvant aller jusqu’à 4% de leur chiffre d’affaires.

En 2019, l’Allemagne a déjà condamné le groupe immobilier Deutsche Wohnen à une amende de 14,5 millions d’euros pour avoir archivé des données sensibles de ses locataires. La France a de son côté infligé une sanction de 50 millions d’euros au géant de l’informatique Google, pour défaut d’information de ses utilisateurs de leurs données personnelles. L’amende la plus élevée a été infligée par le Royaume-Uni à la compagnie aérienne British Airways, qui a écopé en 2019 d’une sanction de 183 millions de livres (200 millions d’euros), pour un vol des données financières de centaines de milliers de ses clients.

RGPD. RAPPEL. BILAN 2020. QUELS PLANS D’ACTIONS ?

Je vous souhaite à tous une Excellente Année 2021 : respiration, aération, inspiration…
Le mois de janvier du blog sera consacré au RGDP, que j’appelle dans mes travaux un amplificateur de risques (p.47, chapitre 1) / https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html
Nous avons déjà abordé le sujet en 2019 et 2020. Vous pouvez relire en avril 2019 « RGPD, les sanctions tombent » et en avril 2020 « Le contexte réglementaire qui accentue l’intérêt des entreprises pour les risques liés au télétravail, à savoir le RGPD…» A retrouver dans les archives tout en bas du menu déroulant en bas à gauche.
Aujourd’hui, 11 janvier 2021. Rappel du contexte réglementaire : le RGPD. 1er éléments de bilan 2020 à partir de deux articles :
  • « Pourquoi le RGPD n’a (presque) rien changé pour les internautes » et constat d’un relatif échec
  • Quelques chiffres sur le montant des sanctions en Europe

Au programme. Le 18 janvier 2021

  • article / sanctions H&M
  • article / sanctions Google
  • article / sanctions Carrefour / avec les délibérations et pour approfondir les références aux articles de la CNIL

Au programme. Le 25 janvier 2021

  • Règles de l’ANSSI et de la CNIL à suivre / Quels Plans d’Actions ? (source : I-Trust)

Rappel du contexte réglementaire : le RGPD.

General Data Protection Regulation (GDPR) ou Réglement Général pour la Protection de données (RGPD)

Date : entrée en vigueur le 26 mai 2016 ; applicable à partir du 25 mai 2018.

Dispositif : le nouveau règlement européen modifie le cadre juridique relatif à la protection des données à caractère personnel au sein de l’Union européenne. Les entreprises devront déclarer aux autorités de leur pays (et dans certains cas aux personnes concernées) les violations de données à caractère personnel sous 72 heures en suivant les dispositions spécifiques du GDPR  et en conservant un registre de violation.

Champ d’application : toutes les entreprises qui collectent, traitent, et stockent des données à caractère personnel.

Sanctions : action judiciaire des individus pour réclamer des dommages et intérêts ; actions de groupe ; amende administrative jusqu’à 20 millions d’euros ou 4% du Chiffre d’Affaires mondial.

Il s’attarde sur les risques de notre époque post-moderne (violation de données, perte des données, traitement illicite de données…).

Pour en savoir plus : « Règlement Général pour la Protection des Données. Comment l’entreprise doit-elle protéger les données personnelles ?, Cahier technique de l’AMRAE, juillet 2018.

Quelques Chiffres

En 2020, le montant des amendes pour non-respect du RGPD s’élève à 171 millions d’euros. C’est l’Italie qui a infligé le plus de sanctions, avec 34 infractions constatées, soit un montant correspondant à 58,16 millions d’amendes.

Le nombre d’affaires croissant porté devant les autorités de protection des données personnelles devrait toutefois mener à une hausse du montant total de sanctions dans les années à venir, notamment après l’invalidation du Privacy Shield par la Cour de Justice européenne (CJUE).
En 2020, le montant des amendes pour non-respect du RGPD s’est élevé à 171 millions d’euros

C’est l’Italie qui a infligé le plus de sanctions.

Le classement des pays qui ont infligé le plus d’amendes au titre du règlement général sur la protection des données vient de sortir. Selon Finbold, le montant total des sanctions s’élève cette année à 171,3 millions d’euros. C’est l’Italie qui arrive en tête du classement avec 34 infractions constatées pour ses entreprises et un total de 58,16 millions d’euros d’amendes infligées.

L’étonnante dernière position de l’Irlande

En mai 2018, après plusieurs années de réflexion et de travail, le RGPD voyait le jour. Ce règlement européen précède à la directive 95/46/CE instaurée en 1995 par le Parlement Européen. Un véritable chantier juridique qui semble désormais porter ses fruits. En effet, si entre mai 2018 (date d’entrée en vigueur du texte) et janvier 2020, seulement 114 millions d’euros d’amendes avaient été comptabilisés, entre janvier 2020 et décembre 2020, le montant total des sanctions est plus élevé. Il atteint précisément 171,3 millions d’euros.

Il est intéressant de s’arrêter sur le classement des pays. Premier constat étonnant : l’Irlande est en dernière position dans ce classement des pays qui ont infligé le plus d’amendes au titre du RGPD. Seulement 630 000 euros d’amendes. Ce pays est pourtant le centre névralgique de la protection des données. C’est là que Google, Facebook, LinkedIn, Microsoft, Airbnb, Hubspot, Stripe, Smartbox, Dropbox, Slack, Salesforce ou encore IBM ont leur siège social… Des entreprises susceptibles de ne pas respecter le règlement général sur la protection des données.

La France inflige 3 millions d’euros d’amendes

En première position de ce classement, nous retrouvons l’Italie. La Garante per la protezione dei dati personali, l’équivalent de la Cnil en Italie, a délivré un total de 58,16 millions d’euros d’amendes. Parmi les entreprises concernées, nous retrouvons Eni Gas et Luce, un fournisseur italien d’électricité et de gaz. L’entreprise a dû s’acquitter d’une grosse amende de 11,5 millions d’euros. Le Royaume-Uni se classe en deuxième position avec 49,3 millions d’euros d’amendes. On se souvient notamment de l’amende prononcée à l’encontre de British Airways.

L’Allemagne est troisième avec 37,39 millions d’euros d’amendes. Ensuite nous retrouvons la Suède, l’Espagne et la France en sixième position avec seulement 3 millions d’euros d’amendes. L’amende la plus importante est celle dont Carrefour Banque a dû s’acquitter en fin d’année. En 2021, l’invalidation du Privacy Shield par la Cour de justice européenne (CJUE) devrait représenter un véritable défi pour les autorités de protection des données. 5 300 entreprises sont concernées et cela rebat totalement les cartes des flux de données. Enfin, notons que malgré le Brexit, le RGPD reste applicable jusqu’en juillet 2021.

Par Valentin Cimino