Archives pour la catégorie élargissement du domaine du risque

Préjudice écologique et responsabilité environnementale, quelle responsabilité pour l’entreprise ?

Pour continuer sur les risques environnementaux des entreprises.
Pollution de l’air ou de l’eau, dépollution d’un site… Les atteintes à l’environnement sont de plus en plus présentes.

Trop souvent sous-estimés, complexes, longs et onéreux à réparer…

Face au risque écologique, quelle responsabilité pour l’entreprise et ses dirigeants ?

En pleine actualité Lafarge – pollution de la Seine – (voir article de la semaine dernière), je vous propose pour en savoir plus sur le risque environnemental un podcast éclairant.
Ecoutez sur ce sujet le Responsable des risques environnementaux de Chubb.  

Ecouter le podcast

chubb.com

Risque EnVIRONNEMENTAL. DEFINITION. ILLUSTRATION : LAFARGE

<p value="<amp-fit-text layout="fixed-height" min-font-size="6" max-font-size="72" height="80"><strong>Pourquoi le risque devient-il une variable centrale de la réflexion organisationnelle des entreprises ?</strong>Pourquoi le risque devient-il une variable centrale de la réflexion organisationnelle des entreprises ?

Il le devient sous l’effet de cinq facteurs.

Le premier est l’élargissement du domaine de la gestion des risques Au début des années 1990, de nouveaux risques voient le jour : les changements technologiques dans le système d’informations font partie des premiers cités par les entreprises. Des qualificatifs viennent préciser la nature du risque : aux risques traditionnels (incendie, inondation…) s’ajoutent le risque éthique, le risque environnemental.

Encadré 3 – Le risque éthique  

L’éthique peut être définie comme la mise en pratique quotidienne des valeurs de l’entreprise et plus largement le respect des valeurs humaines et sociétales. Elle a pris de plus en plus de place dans les cursus universitaires comme dans le discours des hommes politiques et des entrepreneurs qui la déclinent en : (1) développement durable en matière d’environnement ; le risque éthique est alors proche du risque environnemental ; (2) gouvernance ; il s’agit alors de respect des engagements pris, de transparence et ouverture aux besoins de l’environnement dans lequel opère l’organisation, de prise en compte des parties prenantes (actionnaires et autres)[1]. Ainsi le niveau éthique d’une entreprise sera celui de ses dirigeants et de ses salariés, se traduisant par une pratique commune et cohérente avec les valeurs affichées.

En pratique, cette considération se traduit notamment par la capacité de la gestion des risques à amener le débat sur des risques sous-estimés : le risque de corruption, de conflits d’intérêt, le risque de fraude interne, le risque de blanchiment des capitaux, le risque de dérive des prestations externalisées, le curseur que l’entreprise doit mettre sur sa sécurité au travail.

Source : extrait La Fonction Risk Manager. Organisation, Méthodes et Positionnement ; p. 30 ; Aubry C et Dufour N.

C’est à ce risque que l’entreprise Lafarge est aujourd’hui confrontée.

Ouverture d’une enquête après une « suspicion de pollution » de la Seine par Lafarge

Europe 1 révèle que l’entreprise a laissé s’écouler des boues polluées au ciment et au plastique dans la Seine. Pour l’Association agréée de pêche et de protection du milieu aquatique, cette pollution est volontaire. La Mairie de Paris a annoncé qu’elle allait porter plainte.

Le parquet de Paris a annoncé l’ouverture d’une enquête à l’encontre du cimentier français Lafarge, pour « suspicion de pollution de la Seine par une entreprise de travaux publics ».L’industriel a laissé s’écouler dans la Seine, en plein Paris, des boues polluées au ciment et au plastique : un « incident » reconnu par l’entreprise, qui toutefois nie le caractère volontaire de cette pollution dénoncé par une association, rapporte Europe 1 mardi 1er septembre.

La Mairie de Paris a annoncé qu’elle allait porter plainte contre Lafarge. « C’est un véritable scandale écologique, alors que nous travaillons avec nos partenaires depuis de nombreuses années pour améliorer la qualité du fleuve. La Ville de Paris va saisir le procureur de la République pour ces faits graves qui portent atteinte à notre environnement », a réagi Anne Hidalgo, la maire de Paris, sur Twitter.

Près du ministère de l’économie, dans le 12e arrondissement de la capitale, le cimentier Lafarge dispose d’un entrepôt sur les quais de Seine. Sur une vidéo publiée par Europe 1, on voit un camion à béton vider sa cuve dans une autre cuve sur le quai, mais celle-ci est percée et laisse s’écouler une eau blanchâtre dans le fleuve parisien. Selon la radio, ce qui s’échappe est « un mélange liquide de particules de ciment et de tiges en plastique ».

« Clairement, c’est volontaire. Dans ces cuves, ce sont toutes les eaux et les restes de béton fabriqué dans la journée qui reviennent dans les camions en fin de journée, dénonce à Europe 1 Jacques Lemoine, agent de développement de l’Association agréée de pêche et de protection du milieu aquatique (AAPPMA). Ensuite, la société est censée traiter ses déchets. »

Lafarge plaide l’erreur

L’Office français de la biodiversité, une agence de l’Etat, a porté plainte pour cette pollution environnementale, assure la radio, et des constats ont été effectués par la police, qui a transmis l’affaire à la justice. Lafarge déplore auprès d’Europe 1 « un incident tout à fait exceptionnel et indépendant de sa volonté » et se dit « victime d’une détérioration manifestement délibérée d’une plaque d’étanchéité qui a entraîné un écoulement temporaire d’eau recyclée dans la Seine ». L’entreprise compte également porter plainte.

Mais pour l’AAPPMA, cette pratique est ancienne ; ses membres ne croient pas à la non-implication de l’entreprise, récemment fusionnée avec le suisse Holcim, devenue LafargeHolcim. Pour l’AAPPMA, cette pollution « étouffe les poissons et pollue les algues ».

En mars 2020, une filiale du groupe Vinci avait été condamnée à 90 000 euros d’amende – dont 40 000 avec sursis – pour avoir déversé, « de manière accidentelle »« de l’eau grise chargée de sable et de traces de ciment désactivé » dans la Seine, en aval de Paris. L’entreprise avait été condamnée dans le cadre d’une procédure de « comparution sur reconnaissance préalable de culpabilité ».

Le Monde


[1] Selon Freeman (1984), une partie prenante désigne un groupe ou un individu qui peut affecter ou est affecté par la réalisation des objectifs de l’organisation.

Avant dernier post avant la déconnexion estivale. A écouter : CYBERSECURITE : tous concernés !

Un grand merci à la Mêlée Numérique de m’avoir permis de participer à la première édition Jobstic 100% en ligne ! 🤩 Initialement prévue le 25 mars, elle s’est tenu en ligne la 25 juin. Super organisation !

Stéphanie BUSCAYRET – Chief Information Security Officer (CISO)  du groupe LATECOERE – , classée dans les « 100 français qui comptent dans la Cybersécurité », Rémy DAUDIGNY – Délégué Occitanie de l’ANSII -, Laurent Simeoni – Chargé de Mission Lutte contre la cybercriminalité à POLE EMPLOI -, Fabrice Vermande – Product Security Engineer au sein du groupe AIRBUS – et moi-même avons participé à la première table ronde :

 » Cybersécurité, tous concernés ».

Si vous souhaitez nous écouter, voir ou revoir les tables rondes et l’atelier, c’est par ici 👉 https://lnkd.in/gdJyziu

Encart pub

 

Etablir une cartographie des risques de corruption

Le législateur a adopté des textes ciblant des risques spécifiques : financier et éthiques. Ils ont en commun de conduire les entreprises à mettre en place des plans d’actions de prévention et de renforcer la responsabilité des dirigeants.

La loi Sapin II du 9 décembre 2016 vise à prévenir les risques de blanchiment des capitaux, de financement du terrorisme et de la corruption – la corruption est le fait pour toute personne de solliciter une personne dépositaire de l’autorité publique, moyennant rémunération, un acte relevant de ses fonctions -.

Elle propose six mesures pour cartographier le risque de corruption et le prévenir au niveau organisationnel et individuel. Cette loi n’oblige pas à une communication extérieure spécifique mais elle engage la responsabilité personnelle des dirigeants et celle de la société en tant que personne morale.

Nicolas Dufour et moi-même présentons davantage la loi Sapin II dans notre ouvrage ; voir « La Fonction Risk Manager. Organisation. Méthodes et Positionnement », Ed Gereso, p.50.

L’article ci-dessous réfléchit à la manière de construire une cartographie des risques de corruption.

La démarche est une démarche « classique » de construction d’une cartographie (voir Chapitre 4, Méthodes, démarches et outils des Risk Managers de notre ouvrage, p.127). Les grandes étapes sont :

  • d’identifier les risques, passés, présents et émergents ;
  • d’évaluer le niveau de criticité des risques en tenant compte de leur probabilité de survenance et de leur impact ;
  • de hiérarchiser les risques ;
  • d’identifier les zones de risques insuffisamment couvertes par le dispositif de maîtrise ;
  • de mettre en place des plans d’actions et des outils de reporting.

La démarche présente certaines spécificités propres aux risques de corruption évoqués dans l’article.

Vous y retrouverez également une approche de la gestion des risques et des outils utilisés qui me sont chères et que je développe dans mes travaux (voir Chapitre 2, L’activité des Risk Managers de notre ouvrage, p.94) :

  • la connexion avec les opérationnels et les processus / l’implication de la direction générale / la collaboration avec les autres fonctions pour mettre en place la démarche
  • les ateliers et les entretiens individuels pour identifier et évaluer les risques ;
  • la responsabilisation des acteurs et la proactivité pour les analyser et les suivre.

La gestion des risques et la cartographie et la gestion des risques deviennent ainsi des outils de pilotage – évolutifs et vecteurs d’innovation -.

Etablir la cartographie des risques de corruption : un défi en pratique

« Près de 3 ans après l’entrée en vigueur de la loi Sapin II, bon nombre d’interrogations planent encore quant à la meilleure méthodologie à déployer pour construire une cartographie des risques de corruption. Dans leur chronique, Stéphanie Dominguez, senior manager et Stella Vitchénian, associée global assurance, gestion des risques, contrôle interne et conformité chez KPMG France, nous livrent leur mode d’emploi.

Le sujet de la cartographie des risques reste sensible et l’exercice relativement technique. Si certaines modalités de réalisation sont communes à tous les exercices de cartographie, d’autres relèvent d’un dispositif plus spécifique, propre aux particularités de ce domaine de risques. Pour apporter un éclairage sur la question, il peut être utile de balayer quelques idées reçues.

Gestion des risques et conformité

Il est établi aujourd’hui que réaliser une cartographie des risques de corruption efficace et pertinente est un exercice qui fait appel à deux expertises cumulatives et complémentaires : une expertise de la conformité (ou compliance) d’une part et une expertise méthodologique de la gestion des risques d’autre part. Ceci étant dit, la fonction conformité n’est pas toujours portée par quelqu’un qui possède ces deux expertises. Il est donc courant dans cette situation que les sociétés fassent appel – et c’est une pratique tout à fait légitime – à un soutien externe, nécessaire pour ne pas avoir à réitérer / revisiter l’exercice à courte échéance voire à revoir complètement la méthodologie a posteriori.

Ce que la cartographie n’est pas…

La cartographie des risques de corruption n’est pas un audit et encore moins une investigation, il s’agit d’avoir une image à un instant donné des zones d’exposition potentielles et des risques de corruption susceptibles de survenir au sein de son entreprise.

La cartographie des risques doit intégrer l’ensemble des dimensions des risques de corruption affectant une entité. Pour autant, la cartographie des risques de corruption n’est pas une liste exhaustive de l’ensemble des risques auxquels est exposée une entité. Elle doit être adaptée au contexte de l’entreprise. Elle ne fonctionne pas seule et doit être reliée à la cartographie des risques globaux et opérationnels du groupe pour avoir une vraie cohérence.

Ce dispositif ne doit pas être le fruit d’une réflexion théorique et très chronophage pour les opérationnels, déconnectée des opérations, des processus et de l’environnement de gestion des risques et de contrôle interne de l’entreprise. Elle ne devrait pas non plus être un outil complexe et sophistiqué, ni un instrument destiné exclusivement au management.

Une cartographie pertinente doit au contraire se concevoir pour devenir un outil de pilotage utile à tous et constituer le socle du déploiement du programme de conformité de l’entreprise, et ce de façon différenciée et éclairée dans toutes ses strates. Il doit s’agir d’un outil utile, opérationnel, homogène mais évolutif. Véritable pierre angulaire, elle permettra au responsable de la conformité –  group compliance officer, responsable ou directeur de la conformité ou toute autre personne qui pilote officiellement la fonction conformité au sein de l’entreprise – de responsabiliser les acteurs du dispositif de prévention, de coordonner les actions engagées ou à engager, d’apprécier leur efficacité et leur degré de maîtrise et de suivre le plan de déploiement et d’amélioration continue de son programme de conformité au sein de l’organisation.

Sensibilisation, diplomatie et écoute

La cartographie étant un exercice interne destiné à recenser les risques de l’entreprise et mieux comprendre les ressorts de leur survenance, le responsable de la conformité adaptera, en accord avec sa direction, la méthode employée à la taille, la (les) zone(s) géographique(s) où le groupe opère ou est implanté, la nature des activités exercées ainsi qu’aux caractéristiques des tiers avec lesquels le groupe interagit dans la marche de ses affaires. Il peut choisir de collecter les informations relatives aux facteurs de risques et d’exposition à la corruption au travers d’ateliers, par entretiens individuels ou encore – mais c’est le moins souhaitable si l’analyse se limite à cela – via l’administration de questionnaires d’évaluation, envoyés aux opérationnels et au management.

Chaque technique est acceptable tant qu’elle est adaptée et que la société est capable – lors d’un audit du régulateur et en conformité avec les recommandations de celui-ci – d’expliciter, documenter et justifier de façon rationnelle et suffisamment robuste les choix méthodologiques retenus.

Par exemple, en pratique, effectuer un unique atelier de 2h réunissant une quinzaine de managers et d’opérationnels pour recenser les risques de corruption de l’ensemble de la zone Europe d’un groupe présent dans 17 pays paraîtra certainement insuffisant.

Au contraire, passer en revue un certain nombre d’indicateurs choisis, exogènes et endogènes, pré-identifier les zones, processus et transactions les plus exposés, puis lancer une mission, avec ou sans aide extérieure, d’un mois avec 15 entretiens individuels de 2h chacun sur les 2 sites d’implantation en Inde par exemple afin d’effectuer une cartographie des risques de corruption adaptée au pays pourra constituer un bon niveau de granularité, ou du moins permettre une meilleure appréhension du niveau de risques de corruption par la direction.

Les entretiens, dont il convient de conserver une trace écrite, doivent refléter l’implication de la direction et de ses collaborateurs. Ceux-ci s’efforceront d’examiner lors des entretiens pour chacun des principaux processus métiers les facteurs de risques et les procédures attenantes, les dispositifs de contrôles existants et les axes d’amélioration à mettre en œuvre par la suite. De plus, il est nécessaire de veiller à la cohérence entre le verbatim collecté lors des entretiens et les notations remontées (criticité du risque ou degré de maîtrise des activités de contrôle) afin de garantir le sérieux et l’implication de l’exercice effectué par tous.

Jusqu’où doit-on aller et à quel niveau de granularité doit-on descendre pour examiner les processus visés ? 

A cette question, il n’y a pas de réponse toute faite et préétablie. Le champ de l’examen est à construire avec les personnes interrogées : si l’entretien du directeur des ressources humaines par exemple, fait ressortir des failles dans les procédures de notes de frais, le responsable de la conformité devra s’intéresser plus particulièrement à ces procédures.

Il faut garder à l’esprit que la construction d’un programme de conformité n’est pas une obligation de résultats mais bien une obligation de moyens, encore faut-il que ces moyens soient réellement donnés par la direction.

L’exercice de cartographie : le premier acte fort d’engagement de l’instance dirigeante ! 

En effet, l’engagement de l’instance dirigeante se reflète d’abord et avant tout dans l’efficacité de la méthodologie déployée, les moyens alloués et le niveau élevé des équipes mobilisées pour aider le compliance officer dans cet exercice.

Dans ce projet stratégique et lourd pour la société, l’erreur est admise. Cependant, le fait d’omettre de faire ressortir le risque de corruption dans un pays donné sous prétexte que son plan d’action sera intégré à ceux des autres pays de la zone géographique à laquelle il appartient peut être considérée comme une autre manière de minimiser la perception des risques pour le groupe.

La bonne pratique réside donc très certainement dans le fait de mettre en avant le choix stratégique de la direction de la société : prioriser son implication pour combattre la corruption au sein du groupe et dans ses filiales plutôt que de réaliser l’exercice à l’économie, en sous estimant les risques, notamment à l’international, en ne faisant preuve que d’un effort faible.

Y-a-t-il un pilote dans l’avion ?

On l’a dit, il est attendu que le responsable de la conformité pilote cet exercice crucial de cartographie avec le soutien réel et visible de l’instance dirigeante au siège comme sur les sites français ou étrangers car de cet exercice dépend le plan d’actions du programme de conformité qui sera porté pendant plusieurs années.

Or, le responsable de la conformité ne pilote pas seul, il sera soutenu par le management, la gouvernance de l’entreprise et les acteurs clés de l’environnement de contrôle du groupe : du comité exécutif au conseil d’administration et à ses comités spécialisés tel le comité d’audit, de la direction des ressources humaines au directeur juridique ou financier, de l’audit interne au contrôle interne et au risk manager, l’implication de tous est la condition de la réussite de ce travail d’équipe, qui s’inscrit dans un projet d’amélioration continue du groupe, en accord avec les valeurs du groupe, stratégique et d’avenir si celui-ci veut présenter sa candidature devant un fonds d’investissement par exemple.

En conclusion, une cartographie non validée par la gouvernance est très vraisemblablement un exercice voué à l’échec. Un plan d’actions non suivi par le comité de direction produira un programme de conformité inutile.

Lorsqu’il est construit sur une analyse pertinente des risques et au-delà du seul impératif juridique, un engagement volontaire, proactif peut faire de ce programme de conformité un avantage compétitif, une valeur commerciale, mais aussi un vecteur d’innovation sur le plan des process opérationnels, des organisations, des outils ou du reporting.

Lorsque l’entreprise n’a pas été sanctionnée par une autorité française ou étrangère, c’est pour elle le moment où il est plus facile et stratégique de structurer et de « penser » son programme de conformité de la manière la plus efficace, homogène et en intégrant ses démarches dans l’amélioration continue et globale du groupe. Cette opportunité se fait de plus en plus rare, il ne tient qu’aux sociétés de se lancer aujourd’hui. »

15/06/2020

Télétravail et Risques

Je vous propose une analyse intéressante de Caroline Diard, Docteur en sciences de gestion de l’institut Mines-Télécom Business School et professeure associée en management des RH et Droit à l’EDC Paris Business School sur le télétravail vu sous l’angle du risque et de sa nécessaire gestion.

Vous y retrouverez décrite l’identification de ce risque / ses causes / ses conséquences de celui-ci et le cadre juridique qui l’accompagne et joue-jouera son rôle d’amplificateur.

Télétravail et harcèlement managérial : une situation dangereuse

Durant la pandémie de Covid-19, les entreprises ont eu massivement recours au télétravail. La distanciation du collectif au travail n’écarte pas le risque de harcèlement moral par le manager. Au titre de l’obligation générale de sécurité, l’employeur doit rester vigilant.

04/06/2020

Pendant le confinement, 95% des organisations ont eu recours au télétravail pour les collaborateurs éligibles (enquête flash ANDRH, avril 2020). Le télétravail a été imposé à un quart de la population active pendant la période de confinement. En Ile-de-France, 41% des salariés ont été concernés (sondage Odoxa du 9 avril 2020).

Il s’agit d’une forme de télétravail contraint, à temps plein. C’est une situation inédite qui a révélé l’agilité des entreprises et la capacité d’adaptation des salariés. A la sortie du confinement 64 % des salariés ont affirmé vouloir continuer à travailler à distance.

Même les secteurs habituellement moins ouverts au travail à distance vont poursuivre l’expérience. C’est le cas du constructeur automobile PSA.

Cet engouement pour le télétravail lié à un contexte d’urgence sanitaire ne doit pas cependant faire oublier les risques liés à cette forme d’organisation du travail.

La vigilance du manager est donc impérative pour éviter l’isolement, la porosité de la frontière vie privée-vie professionnelle, la surcharge de travail et l’hyper-connectivité.

L’employeur devra être particulièrement vigilant dans le cadre de son obligation générale de sécurité (articles L4121-1 et L4121-2 du Code du travail).

Le risque de harcèlement moral par le manager

Un des risques identifiables est celui lié à la pression inhabituelle exercée par les managers. La distanciation du collectif de travail peut contribuer à isoler le télétravailleur qui sera parfois dans l’incapacité de refuser les sollicitations répétées et insistantes du manager, des nouvelles tâches, une surcharge de travail.

Le harcèlement moral par le manager est donc un risque qui peut ne pas avoir été anticipé.

De nombreux contentieux pourraient naître. Une décision récente de la Cour de cassation nous interpelle à ce sujet. En effet, dans un arrêt du 19 février 2019 (n°18-83268), la chambre criminelle de la Cour de cassation a cassé une décision de relaxe du chef de harcèlement moral, en date du 25 janvier 2018 aux motifs que les juges du fond n’avaient pas répondu aux arguments de la salariée victime de ce harcèlement allégué, dont celui consistant à soutenir qu’elle « avait été isolée des autres salariés en raison de la demande de son employeur de travailler chez elle en télétravail, en contradiction avec sa fiche de poste ».

Si le salarié en télétravail est victime de l’un ou plusieurs des agissements constitutifs de harcèlement moral, il pourra saisir le Conseil de prud’hommes et invoquer une situation de harcèlement moral afin de se voir octroyer des dommages-intérêts en réparation du préjudice qu’il a subi.

Des dérives amplifiées par le télétravail

Le salarié en télétravail ne devra donc pas être volontairement isolé ou mis à l’écart, devra  toujours se voir fournir du travail, pouvoir être en lien avec sa hiérarchie, bénéficier du soutien nécessaire à l’accomplissement de ses missions, ne pas être surchargé et ne pas être incité à une hyper-connectivité. En effet, de telles conditions de travail pourraient laisser supposer une forme de harcèlement managérial. Le profil de certains managers peut conduire à des dérives.  Les pervers narcissiques auxquels dès 1998, Marie-France Hirigoyen faisait référence (« Le harcèlement moral. La violence perverse au quotidien ») pourraient user de manœuvre pour conserver leur pouvoir, leur poste et masquer ses incompétences pendant cette période de travail à distance. Le manager harceleur et pervers narcissique met en place des mécanismes divers :

  • culpabilisation,
  • critique et dévalorisation,
  • report de sa responsabilité sur ses collaborateurs,
  • communication floue,
  • changement fréquent d’opinions,
  • mensonges

En cas de télétravail, les possibilités de déviance sont amplifiées. L’impossibilité d’échanger en face à face, la distance avec les collègues et le n+2 pourraient contribuer au développement de pratiques perverse de management.

L’article L 1152-1 du Code du travail relatif au harcèlement, permet de se prémunir des pervers narcissiques puisqu’ « aucun salarié ne doit subir des agissements répétés de harcèlement moral qui ont pour objet ou pour effet une dégradation des conditions de travail susceptible de porter atteinte à ses droits et à sa dignité, d’altérer sa santé physique ou mentale ou de compromettre son avenir professionnel ».

À titre d’exemple, dans le cadre du télétravail contraint, on parlera de harcèlement si un manager déviant venait à dévaloriser un collaborateur devant ses collègues lors de réunions de groupe par visio-conférence. L’utilisation quasi exclusive comme outil de communication des mails peut conduire les managers à envoyer des messages dont le contenu pourrait être insistant, insultant ou dégradant pour un collaborateur. La fréquence des sollicitations peut aussi s’accélérer dans le cas du travail à distance. Le télétravail peut aussi conduire à des situations dans lesquelles un collaborateur est appelé par le manager en journée, le soir et le weekend, et ce afin de lui demander des livrables dans des délais non tenables.

Télétravail et santé

Plusieurs enquêtes révèlent que la santé psychologique des télétravailleurs s’est dégradée. L’étude de perception CSA pour Malakoff Humanis, montre que 30 % des télétravailleurs confinés estiment leur santé psychologique dégradée. Un sondage Opinionway montre quant à lui, que 44 % des collaborateurs sont anxieux et perçoivent une détresse psychologique.

Enfin, une enquête de la CGT sur les conditions de travail et d’exercice de la responsabilité professionnelle durant le confinement, en date du 4 mai 2020, révèle que 35 % des télétravailleurs se sont victime d’une anxiété inhabituelle.

Il convient donc d’attirer l’attention des employeurs qui n’auraient pas répondu aux obligations de sécurité et de protection des télétravailleurs en laissant s’installer une situation de harcèlement et qui engagent lourdement leur responsabilité, tant au plan civil que pénal (sanction pouvant aller jusqu’à deux ans d’emprisonnement et 30 000 euros d’amende). Une vigilance toute particulière devra être apportée aux comportements managériaux déviants.

« La Fonction Risk Manager. Organisation, Méthodes et Positionnement » à nouveau disponible en version papier. Gereso Editions reprend les livraisons. Toujours disponible en version numérique.

A la question de la place du Risk Manager dans l’entreprise, l’un des intervenants d’un webinaire de l’AMRAE répondait : « il doit être dans la warroom, mais la fonction est encore sous-staffée. Les entreprises ne pourront pas ignorer la fonction. S’il y a une fonction sur laquelle il faut investir, c’est la Fonction Risk Manager ». Je défends ce point de vue dans mes articles depuis de nombreuses années au point d’avoir co-écrit un ouvrage sur cette fonction. Découvrez la Fonction Risk Manager, un « job de dingue » !

Pour commander :

https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

2020 Post citation 1

 

Pour continuer sur la Supply chain à l’épreuve du Covid.

Alors que la pandémie met à l’arrêt une partie des économies mondiales – et notamment occidentales -, le fonctionnement des supply chain est bouleversé. Les ruptures et les pénuries se succèdent à un rythme inédit, mettant en lumière la fragilité de tout un système. La notion d’espace et de temps doit être questionnée. Elle va amener dans les prochains mois à de profondes modifications, car il faudra bien tirer les leçons de cet événement inédit, spectaculaire et dramatique.

La pandémie met à l’arrêt une partie des économies, le fonctionnement des supply chain est bouleversé. Les ruptures et les pénuries qui se succèdent mettent en lumière la fragilité de tout un système. La notion d’espace et de temps doit être questionnée. Elle conduira à de profondes modifications, car il faudra bien tirer les leçons de cet événement inédit, spectaculaire et dramatique.

Le temps…

Ce fameux temps réel que les supply chain managers et autres dirigeants vantaient il y a peu, se révèle aujourd’hui bien chahuté. Ainsi, les sources d’approvisionnement, les unités de production et les circuits de distribution ont été mis en réseau à l’échelle de la planète.  Hyperconnectés, ils permettent en quasi-temps réel de situer les stocks, les marchandises en transit, à coup de block chain, de RFID (Radio Frequency Identification) et autre full web.

Sauf que cette force est aussi le point faible des supply chains hypermondialisées.

En effet, la situation actuelle donne raison à celles et ceux qui, depuis des années, pointent du doigt parfois les risques, parfois l’absurdité de certaines décisions de (dé)localisation, de gestion des flux.

L’espace et le temps …

Des produits font le tour de la planète là où le bon sens appellerait à un design des supply chain plus compatibles avec les impératifs de gestion des risques, de maîtrise des ressources ou de diminution de l’empreinte carbone par exemple. Il aura fallu cette crise brutale pour que, la touche pause enclenchée, nous regardions effarés ce système dont la logique – peu remise en cause hier – apparaît aujourd’hui comme folle.

Des supply chain pharmaceutiques en passant par l’agroalimentaire, le textile, l’électronique, l’automobile, le luxe par exemple : ce sont des pans entiers de nos économies qui sont touchés (1).

Alors, retour vers le futur ? Allons-nous revoir les notions d’espace et de temps le jour d’après Covid-19 ?

Pour cela, il faudra avec lucidité, secteur par secteur, à l’échelle nationale et supranationale (l’Europe), prendre des décisions prenant en compte à la fois la sécurisation des filières, leur rentabilité économique et leur impact écologique. Il n’est pas question ici d’ultra-protectionnisme et de fermeture des frontières : la Chine restera le principal pays producteur de terres rares, la France continuera à exporter ses vins et les Etats-Unis seront toujours leaders du Web. Non, il est question ici de réinventer des modèles de chaînes localisées à l’échelle d’un territoire (une région, un pays, un ensemble de pays proches des bassins de consommation) – ce que l’on appelle les relocalisations au sens large ou péricentrales (2). Ces mouvements ont déjà démarré, bien avant la crise du Covid-19. On peut aujourd’hui prédire que la source principale d’avantages concurrentiels des entreprises va résider sur leur capacité à maîtriser leurs chaines et donc sur leur résilience, leur plasticité, et leur agilité. Ainsi, les entreprises capables de continuer leur activité ou demain de la redémarrer rapidement sont celles qui ont préalablement développé un schéma industriel équilibré, c’est-à-dire intégrant dans une même zone de consommation les unités d’approvisionnement, de production et de logistique. Pour les autres, il va s’agir de s’inspirer de ces modèles : le made-in-France  ou in-Europe va reprendre des couleurs.

Les mantras d’hier ne seront peut-être plus ceux de demain…

Les flux tendus et le juste-à-temps montrent leurs limites (mais à d’autres occasions, ces limites avaient déjà été testées : catastrophes naturelles, grèves… avec peu de leçons tirées). Le fait que des secteurs stratégiques comme l’industrie pharmaceutique aient, par la délocalisation, insécurisé leurs approvisionnements en composants stratégiques en dit long sur la myopie généralisée des décideurs. Le coût d’achat a ainsi été privilégié au coût global – le contraire de ce que nous sommes nombreux à enseigner à nos étudiants !

L’absence de main d’œuvre qualifiée ou son trop faible nombre dans certains secteurs va nécessairement être un sujet fort : la formation professionnelle va avoir demain son rôle à jouer, la mobilité de la main d’œuvre et sa sécurisation seront aussi à questionner, y compris pour des activités demandant peu de qualification (la pénurie de saisonniers pour récolter les fruits et les légumes s’annonce déjà).

Enfin, le bilan carbone des entreprises va peut-être (enfin ?) être pondéré plus fortement, encourageant ainsi, autant que faire se peut, les circuits courts. Car, plus largement, le développement durable et la RSE peuvent être des lignes directrices pour reconstruire des modèles économiques solides, plus respectueux de l’environnement et des relations sociales.

(1) KYU Associés, Covid-19 : Impacts et résilience des Supply Chain – 17 Mars 2020
(2) Fernandes, V. (2012). Reverse offshoring and value creation: a theoretical framework. The European Business Review, sept-oct, 92-96.

Par Valérie Fernandes – La Rochelle Business School Excelia Group, professeur, pôle supply, purchasing & project management, doyen du corps professoral

Préparation de la Table Ronde sur la Cybersécurité organisée par la Mêlée Numérique en juin 2020 : nouvelles cyberattaques.

Pour préparer ma participation à la Table Ronde organisée aujourd’hui (reportée au mois de juin 2020) par la Mêlée Numérique à Toulouse, j’ai entrepris de lister toutes les cyberattaques connues et intervenues contre des organisations française depuis janvier 2020. Ma liste est déjà longue.

Je vous dépose ci-dessous un article intéressant de cyberattaques contre trois municipalités. On y retrouve les éléments d’identification d’un risque : description de celui-ci, causes, impact. Et quelques Plans d’Actions proposés par Deloitte et détaillés dans un rapport intitulé « Ransoming government : What state and local governments can do to break free from ransomware attacks ».

Marseille, Martigues, Charleville-Mézières : les villes françaises sous attaque des ransomwares

Technologie : « Cette cyberattaque, inédite par son ampleur et sa force de frappe, n’a pu être évitée » assurent les responsables locaux. L’attaque touche des systèmes informatiques très importants en cette période d’élection et de pandémie de Coronavirus.

Par La rédaction de ZDNet.fr | lundi 16 mars 2020

Impossible dimanche soir pour les journalistes présents en mairie de Marseille d’obtenir les résultats du premier tour des municipales. La cause ? Une attaque informatique qui paralyse depuis le 14 mars dernier les systèmes informatiques de la municipalité, phocéenne.

La métropole Aix-Marseille-Provence a également été victime de l’attaque, tout comme la ville voisine de Martigues. 300 machines informatiques ont été bloquées assure l’Agence nationale de sécurité des systèmes d’information (Anssi) à l’AFP.

Problème, ces machines devaient créer les listes d’émargement des procurations en vue des élections. Les listes ont donc du être faites à la main, ce qui a ajouté au chaos rapporté sur place dans les bureaux de vote, pour diverses raisons. La Provence précise de son côté que les systèmes informatiques de la région PACA seraient également concernés.

« Cette cyberattaque, inédite par son ampleur et sa force de frappe, n’a pu être évitée »

La mairie de Marseille a assuré que « les élections municipales auraient lieu normalement ». Reste que lundi matin le site de la métropole ne fonctionnait pas. La mairie de Martigues prévient quant à elle que « l’accueil du public sera affecté dans les prochains jours » du fait de cette cyberattaque.

« Malgré les précautions extrêmes prises au quotidien pour protéger les équipements informatiques et se prémunir des virus et du piratage, cette cyberattaque, inédite par son ampleur et sa force de frappe, n’a pu être évitée » a déclaré par communiqué Martine Vassal, candidate Les Républicains à la mairie de Marseille, et présidente de la métropole Aix-Marseille-Provence. « Cette attaque repose sur un rançongiciel (ransomware), un logiciel malveillant qui bloque l’accès à un ordinateur ou à des fichiers en les chiffrant, tout en réclamant à la victime le paiement d’une rançon ».

Elle précise par ailleurs que les équipes techniques sont à pied d’œuvre pour faire un diagnostic précis des systèmes compromis afin d’ »arrêter la propagation » de cette attaque et d’en « limiter l’impact ». Pour éviter un dysfonctionnement de plus grande ampleur, la Métropole a demandé à ses agents de ne pas allumer leur ordinateur fixe ou portable. La collectivité explique travailler avec les instances nationales de sécurité, pour « permettre le rétablissement du réseau informatique dans les meilleurs délais ».

Le secteur public en première ligne

« Les systèmes de sauvegarde et de récupération devraient permettre de limiter les dégâts et récupérer la plupart des données », tient-elle à rassurer. L’enquête a été confiée à la sous-direction de la lutte contre la cybercriminalité de la police nationale.

Mardi dernier, ce sont les systèmes informatiques de la ville de Charleville-Mézières et d’Ardenne Métropole qui étaient visés par une attaque similaire. Selon le média local l’Ardennais, la mairie avait du faire appel à des experts en cybersécurité pour débloquer les systèmes. Le lendemain, la ville ardennaise avait annoncé un retour progressif à la normale.

Si l’épidémie de ransomware touche les systèmes informatiques des collectivités locales tout comme ceux des entreprises, il existe des raisons plus spécifiques pour lesquelles les pirates s’entichent des sites de mairies et communauté d’agglomération.

L’utilisation de systèmes et de logiciels anciens est un problème qui provoque des faiblesses dans ces organisations

Mercredi dernier, Deloitte a publié un rapport intitulé « Ransoming government : What state and local governments can do to break free from ransomware attacks », qui examine comment ces attaques peuvent avoir lieu – et ce que les employés du secteur public devraient faire pour relever le défi des ransomwares. Selon les chercheurs, comme les collectivités locales proposent de plus en plus de services numériques, la surface d’attaque s’est radicalement accrue ces dernières années.

« Il y a quelques décennies, il y avait peut-être quelques ordinateurs dans (ces organisations) », note le rapport. « Chacun de ces ordinateurs est un point d’accès potentiel pour les logiciels malveillants, avec pour conséquence que la surface d’attaque potentielle qu’une collectivité locale doit protéger s’est considérablement accrue sans investissements proportionnels dans la cybersécurité ».

L’utilisation de systèmes et de logiciels anciens, dépassés et inadéquats est un autre problème qui provoque des faiblesses dans ces organisations. Les défaillances dans la gestion des cycles de patchs, les systèmes d’exploitation anciens qui ont dépassé les dates de fin de support, et les budgets serrés empêchant la modernisation et contribuent aux infections par les ransomwares.

Le manque de budget est la principale préoccupation des RSSI de ces organisations

« Pour les organisations publiques nationales et locales qui fonctionnent avec des systèmes anciens, la mise à jour de ces systèmes peut être une bataille redoutable » note Deloitte.

Cependant, l’étude suggère que même si les systèmes anciens peuvent représenter un défi, le facteur humain est le plus grand problème pour le secteur public. Sans personnel qualifié et sans une sensibilisation générale à la cybersécurité, la possibilité que les pirates utilisent les vulnérabilités, le phishing et l’ingénierie sociale pour compromettre les réseaux augmente.

Une enquête menée par la NASCIO et Deloitte montre que le manque de budget est la principale préoccupation des RSSI et responsables de sécurité informatique de ces organisations depuis 2010. Seulement un à deux pour cent du budget informatique moyen de ces organisations est utilisé à des fins de cybersécurité.

Par ailleurs, il s’avère que les collectivités locales paient le plus souvent les preneurs d’otage de leurs systèmes d’information plutôt que d’essayer de restaurer les systèmes par des sauvegardes – si cela est possible – ou de faire face à la possibilité de longues semaines à compter uniquement sur des documents papier. Un exemple cité dans l’étude est celui de la ville de Baltimore, qui a refusé de céder à une demande de rançon de 76 000 $, pour ensuite perdre plus de 18 millions de dollars en frais de recouvrement et en pertes de revenus.

Selon Deloitte, les considérations essentielles des collectivités locales pour lutter contre le risque de ransomware doivent être :

  • Une architecture de systèmes plus intelligente :La modernisation de l’IT ne peut être reportée qu’un certain temps et, compte tenu des dommages financiers que peuvent causer les rançons, il convient d’envisager au plus tôt la réorganisation des anciens systèmes pour prévenir ces attaques.
  • Formation du personnel :La formation et la fidélisation du personnel sont essentielles, tout comme les partenariats entre les secteurs public et privé pour élargir les réserves de talents disponibles.
  • Gestion des correctifs :Deloitte suggère que des pratiques adéquates de gestion des correctifs soient appliquées et que l’on envisage à la fois le cloisonnement des données et les sauvegardes offline.
  • Cyberassurance :Si la cyberassurance peut couvrir le coût des attaques par rançon, son utilisation doit être envisagée avec prudence. Ces politiques peuvent avoir un effet d’entraînement en incitant les pirates à exiger des paiements importants.

 

Contrer le cyber risque, risque n°1 du baromètre Allianz 2019.

Ci-dessous un article intéressant paru dans les Echos. Je vous conseille la lecture du dossier des Echos sur ce sujet.

Contrer le risque : toutes les étapes dans un guide de l’Anssi et de l’Amrae

L’Agence nationale de la sécurité des systèmes d’information et l’Association pour le management des risques ont conjugué leurs expertises pour apporter aux entreprises, dans un guide gratuit, une réponse globale et pratique au risque cyber.

Voilà devenus réels les pires scénarios de science-fiction… Dans un monde où les nouvelles technologies ont pénétré toutes les strates de l’entreprise, une atteinte aux infrastructures informatiques peut remettre en question l’existence même d’une organisation.

Arrivées à ce même constat – celui que le risque cyber a glissé du domaine technique vers le champ stratégique -, l’Agence nationale de la sécurité des systèmes d’information (Anssi) et l’Association pour le management des risques et des assurances de l’entreprise (Amrae) ont mutualisé leurs compétences dans un guide cosigné.

Destiné aux acteurs économiques moins matures en termes de cybersécurité, depuis les PME jusqu’aux grandes sociétés cotées, administrateurs ou services publics, « Maîtrise du risque numérique, l’atout confiance » est téléchargeable gratuitement sur les sites des deux organisations.

« L’objectif est de généraliser la prise de conscience et de rendre accessible au plus grand nombre les principes pratiques d’une politique de sécurité numérique », explique Brigitte Bouquot, présidente de l’Amrae. « Ce guide a également une ambition européenne : nous plaidons pour un partage à l’échelle du continent », poursuit Guillaume Poupard, directeur général de l’Anssi.

Lancé officiellement la semaine dernière au cours du forum de la Fédération européenne des associations de risk management (Ferma) à Berlin, ce vademecum détaille 15 étapes clefs de la mise en oeuvre d’une stratégie de cybersécurité.

Parmi elles : une appropriation du sujet par la direction générale« Il n’y a que le dirigeant qui puisse débloquer des budgets, doter l’entreprise d’une gouvernance de la cybersécurité et mettre toute l’organisation en ordre de marche », pointe Fabien Caparros, chef de la division chargée des méthodes de management de la sécurité numérique de l’Anssi et contributeur du guide.

Fil conducteur de l’ouvrage, la nécessité de mettre la prévention au service de la croissance de l’entreprise imprègne chaque conseil énoncé. Ainsi, dans les démarches jugées essentielles à une politique de sécurité, la cartographie des impacts fait écho à la méthodologie des risk managers. « Nous préconisons d’anticiper les scénarios les plus impactants, en évaluant leurs conséquences financières ou réputationnelles. Si l’entreprise a en permanence un oeil sur ses vulnérabilités, elle pourra réduire le risque », estime Philippe Cotelle, président de la commission systèmes d’information de l’Amrae, qui a également participé à la rédaction.

Dossier: Cybersécurité : les entreprises contre-attaquent

Valorisation du risque

Autre pilier d’une stratégie visant la protection, la défense et la résilience, la capacité à tenir sur le long terme. « La démarche en faveur de la sécurité doit être tenable dans le temps, ce qui se révèle compliqué, car le numérique évolue en permanence. Pour cela, l’organisation doit se donner les moyens d’être agile et performante », prévient Fabien Caparros.

Outre le rappel des enjeux et une boîte à outils, le guide insiste sur la notion de valorisation de la prise en compte du risque cyber. « Cela suppose des investissements conséquents, mais, en retour, l’entreprise sera perçue comme un partenaire de confiance par ses clients et ses investisseurs », souligne Philippe Cotelle.

L’une des caractéristiques du risque cyber étant sa transversalité, « Maîtrise du risque numérique, l’atout confiance » est destiné à tous : dirigeants, gestionnaires des risques, directeurs des systèmes d’information, responsable de la sécurité des systèmes d’information, mais aussi responsables métiers, directeurs des ressources humaines, directeurs financiers, etc. « Le but n’est pas d’avoir un discours suscitant la peur et prônant le tout sécuritaire, mais de rappeler que si la maison brûle, nous avons les outils pour la protéger et mettre en sécurité ses occupants », conclut Brigitte Bouquot.

« L’Amrae continue à évangéliser les entreprises éloignées du risk management »

« La complémentarité de l’Anssi, sur les volets techniques et normatifs, et de l’Amrae, sur les aspects stratégiques et de gouvernance, n’a cessé de se resserrer ces dernières années. Dans ce guide exhaustif, l’Anssi apporte sa culture héritée d’un environnement étatique, voire militaire, là où l’Amrae continue à évangéliser les entreprises éloignées du risk management. Notre objectif commun est de faire en sorte que notre écosystème mette en place toutes les conditions d’une confiance numérique. » Brigitte Bouquot est présidente de l’Amrae

« Le numérique représente un vecteur de menaces toujours plus destructrices »

« L’Amrae et l’Anssi n’ont pas la même approche du risque numérique et parlent des langages différents, mais nous partageons une ambition commune : nous glisser dans la peau de la cible et répondre à ses préoccupations. L’enjeu est majeur à l’heure où le numérique représente autant une source d’opportunités qu’un vecteur de menaces, toujours plus sophistiquées et destructrices. Le risque zéro n’existe pas, mais ce livre entend être au côté des entreprises dans une logique d’amélioration continue. » Guillaume Poupard est directeur général de l’Anssi

Julie Le Bolzer

Procès France Télécom : analyse. Nouvel élargissement du périmètre de risques des entreprises. « Risque pénal, risque financier… De l’audit d’acquisition aux plans de restructuration, « il y a désormais de la part de l’employeur la nécessité d’anticiper le risque social »

Le procès France Télécom, symbole d’une nouvelle donne sociale

Exit le droit social « à la papa ». Avocats, syndicats et juges vont puiser leurs arguments ailleurs que dans le Code du travail. Explications en ce jour du jugement de France Télécom.

Changement d’époque. Pour la première fois, ce vendredi, le juge pénal doit se prononcer sur une question apparemment  loin de ses bases  : le tribunal correctionnel de Paris va devoir dire si la politique d’entreprise menée par France Télécom entre 2007 et 2010 est constitutive d’un harcèlement moral sur l’ensemble de ses 120.000 salariés à l’époque des faits. 35 personnes avaient mis fin à leurs jours.

Durant les deux mois d’audience cet été, le tribunal a écouté  les témoignages des victimes et de leurs familles venues crier leurs douleurs ainsi que la défense des ex-dirigeants, dont Didier Lombard. Mais comment juger une politique managériale ? Pour tirer les fils de la chaîne de responsabilité, avocats de la défense et des parties civiles se sont battus à coups de rapports, notes et comptes rendus . A l’issue de ces semaines d’émotions et de colères exprimées à la barre, le parquet a dénoncé dans son réquisitoire des « habillages » servant à mettre en oeuvre une « politique de harcèlement managérial ». « Le but de ce procès n’est pas de porter un jugement de valeur sur vos personnes, mais de démontrer que l’infraction pénale de harcèlement moral peut être constituée par une politique d’entreprise, par l’organisation du travail et [être] qualifiée de harcèlement managérial », expliquait la procureure Françoise Benezech le 4 juillet dernier. Le parquet a plus largement pointé du doigt ce langage managérial qui permet de « dissimuler » une volonté de déstabiliser les salariés.  Les peines maximales ont été requises  : 75.000 euros d’amende contre France Télécom, un an de prison et 15.000 euros d’amende à l’encontre de Didier Lombard, Louis-Pierre Wenès et Olivier Barberot, ainsi que 10.000 euros et huit mois de prison contre « leurs zélés complices » Jacques Moulin, Nathalie Boulanger et Brigitte Dumont.

Avant la mise en délibéré, la présidente Cécile Louis-Loyant a prévenu : le tribunal devra se détacher du poids de l’attente d’une jurisprudence nouvelle sur le harcèlement moral par une politique d’entreprise. Il jugera en droit. Néanmoins, quelle qu’elle soit,  la décision du tribunal correctionnel aura un impact considérable.

De nouveaux outils de régulation

Car au-delà des drames personnels des victimes, cette affaire est révélatrice d’un mouvement de fond discret, mais extrêmement puissant, d’une mutation majeure du contentieux social. Avocats, syndicats et juges élargissent leurs champs d’action. Ils vont puiser leurs arguments ailleurs que dans le seul Code du travail et utilisent une panoplie plus vaste, allant de l’investigation financière au droit pénal, en passant par les nouveaux instruments juridiques de négociation. Parallèlement, le public concerné s’étoffe :  des populations entières de hauts cadres , d’habitude plus policés, n’hésitent plus à attaquer leur employeur devant les tribunaux.

Avocats d’entreprises et avocats de salariés font le même constat. « Nous sommes aujourd’hui devant un paradoxe, il n’y a jamais eu autant d’accords d’entreprise. Et, pourtant, les conflits se radicalisent comme jamais », analyse Pascale Lagesse, avocate associée du cabinet Bredin Prat, qui conseille nombre de grandes organisations. « Le droit du travail n’est plus la seule ressource du règlement de la conflictualité sociale. Nous avons besoin de nouveaux outils de régulation », reconnaît Roger Koskas, avocat de plusieurs syndicats et organismes de représentation du personnel. Un accord qui part mal peut coûter cher à l’entreprise. Ainsi, Constellium a été condamné par la cour d’appel de Douai à verser 2,4 millions d’euros à 50 salariés du site de Ham dans la Somme licenciés « sans cause réelle et sérieuse » en septembre 2019. La société (ex-Alcan-Pechiney) avait conclu un accord avec les syndicats et supprimé en octobre 2011 une centaine de postes sur 200 sur le site. Elle avait proposé un plan de départs volontaires avec une indemnité majorée, auquel avaient adhéré 90 salariés. Au terme d’une longue bataille judiciaire de presque neuf ans, les anciens d’Alcan ont obtenu gain de cause. Les magistrats de la cour d’appel de Douai ont approuvé les syndicats qui reprochaient à l’employeur de ne pas avoir respecté ses obligations de reclassement interne, préalable à ce plan.

« Au fur et à mesure des années, les portes de la régulation sociale se sont fermées, le contentieux prud’homal s’est réduit. Parallèlement, la mondialisation des entreprises et le recours à toutes les astuces du droit des sociétés – comme la multiplication des entités juridiques – ont mis des écrans à la responsabilité. Résultat : les positions se durcissent. Nous sommes obligés d’aller chercher ailleurs la faute de l’employeur », reconnaît un syndicaliste. En trois ans, le contentieux prud’homal a chuté de 46 % selon la cour d’appel de Paris tandis que parallèlement le juge judiciaire étend son emprise. Il est désormais compétent pour des demandes de  contrôles des risques psychosociaux , surveillés jusque-là par le juge administratif.

Plusieurs réformes sont la cause de cette mutation : la création de la  rupture conventionnelle , la  barémisation contestée des indemnités prud’homales, l’augmentation des démarches administratives, etc. Résultat, « le contentieux file ailleurs », constate Francis Teitgen, ancien bâtonnier de Paris et habitué du contentieux pénal de l’entreprise. « Le droit pénal, le droit financier… sont désormais appelés en soutien du conflit social », précise-t-il.

Ainsi, les contentieux ne se bornent plus au seul périmètre géographique de l’usine ou du site en cause. En septembre 2019, Michelin a été condamné à verser 1,3 million d’euros aux salariés de l’usine de Joué-lès-Tours (Indre-et-Loire) qui contestaient leurs licenciements. La cour d’appel d’Orléans a donné raison au conseil des prud’hommes de Tours d’avoir considéré « qu’un groupe de dimension mondiale ne doit pas être cantonné au secteur d’activité européen et que les informations limitées à ce secteur rendent le licenciement sans cause réelle et sérieuse ».

Des champs d’action élargis

Dans le même esprit, pour contester les licenciements chez Lee Cooper, les syndicats sont remontés jusqu’au fonds d’investissement américain Sun Capital Partners, qui possédait, via un holding basé à Amsterdam – Vivat Holding BV -, la célèbre marque de jean. « Les opérations contestables observées au sein du groupe » ont été faites « à l’encontre des intérêts de Lee Coper France » et « dans le seul intérêt de son actionnaire principal », Sun Capital Partners, écrivent les juges. Selon la cour d’appel, le fonds d’investissement n’avait « pris aucune disposition » pour remédier aux difficultés économiques que ses opérations ont engendrées. Cette décision a été confirmée par la Cour de cassation le 24 mai 2018.

« Les syndicats participent à leur façon et s’inscrivent dans le mouvement de refondation du capitalisme », veut croire Eva Joly. L’ancienne juge d’instruction, désormais avocate, a conseillé le comité d’entreprise ouest parisien de McDonald’s – composé en majorité d’élus Unsa et CGT. En 2015, celui-ci a déposé plainte pour blanchiment de fraude fiscale auprès du parquet national financier (PNF). Il mettait en cause des pratiques fiscales rendant « impossible » tout bénéfice, et donc tout intéressement des salariés. Selon « Challenges », McDonald’s serait en train de discuter avec les magistrats d’une convention judiciaire d’intérêt public (CJIP). Cette  transaction pénale créée par  la loi Sapin II permettrait au géant du burger d’éviter le procès et de mettre fin aux poursuites judiciaires à son encontre en payant une forte amende. Même stratégie pour Conforama, où deux syndicats, la CFE-CGC et FO, et un collectif de salariés ont porté plainte contre X auprès du PNF, le 4 novembre dernier, pour « présentation de faux bilan, abus de bien social et atteinte aux bons fonctionnements des marchés financiers ». Les plaignants estiment que les irrégularités comptables du groupe sud-africain Steinhoff ont précipité les difficultés de l’enseigne de meubles, sur le point de supprimer 1.900 emplois en France.

Les conflits « traditionnels » n’ont pas disparu pour autant. Mais leur base s’est diversifiée. Le 13 novembre dernier, la Cour de cassation vient à nouveau de donner raison à un financier qui réclamait le paiement de bonus différés que lui refusait son employeur, une grande maison de Wall Street. Il n’est pas le premier à utiliser le droit français contre le droit américain. En juin 2019, dans une première affaire, Morgan Stanley s’est vu condamné à verser 1,4 million d’euros de bonus différés  à son ancien banquier vedette Bernard Mourad . Et, dans une affaire concernant six ex-dirigeants du Groupe Barrière, la Cour de cassation, en avril 2019, a décidé que la plus-value réalisée à l’occasion de la cession de bons de souscription d’actions (BSA) devait être considérée comme un avantage obtenu en contrepartie du travail et devait donc être soumise aux cotisations sociales. « Cette décision remet en cause les montants des managements packages, chèrement négociés par les hauts dirigeants », constate Pascale Lagesse.

Prévenir partout et à tout moment

Cette intensification du contentieux social n’est pas près de s’inverser. Tandis que la Cour de cassation est venue élargir la  notion de préjudice d’anxiété à toute substance nocive et toxique dans un arrêt du 11 septembre 2019 – intensifiant ainsi les risques d’alertes internes -, la directive européenne du 7 octobre augmente  le pouvoir et la protection des lanceurs d’alerte .

Risque pénal, risque financier… De  l’audit d’acquisition aux plans de restructuration, « il y a désormais de la part de l’employeur la nécessité d’anticiper le risque social », prévient Laurent Gamet, avocat associé du cabinet Flichy Grangé.

Valérie de Senneville @VdeSenneville, Delphine Iweins @DelphineIweins