Archives pour la catégorie élargissement du domaine du risque

élargissement du domaine du risque, cyberisque-cybersécurité, dispositifs de contrôle et plans d'actions, GESTION DES RISQUES, réglementation et amplification du risque, rgpd, RISQUES

RGPD. RAPPEL. BILAN 2020. QUELS PLANS D’ACTIONS ?

Laisser un commentaire
Je vous souhaite à tous une Excellente Année 2021 : respiration, aération, inspiration…
Le mois de janvier du blog sera consacré au RGDP, que j’appelle dans mes travaux un amplificateur de risques (p.47, chapitre 1) / https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html
Nous avons déjà abordé le sujet en 2019 et 2020. Vous pouvez relire en avril 2019 « RGPD, les sanctions tombent » et en avril 2020 « Le contexte réglementaire qui accentue l’intérêt des entreprises pour les risques liés au télétravail, à savoir le RGPD…» A retrouver dans les archives tout en bas du menu déroulant en bas à gauche.
Aujourd’hui, 11 janvier 2021. Rappel du contexte réglementaire : le RGPD. 1er éléments de bilan 2020 à partir de deux articles :
  • « Pourquoi le RGPD n’a (presque) rien changé pour les internautes » et constat d’un relatif échec
  • Quelques chiffres sur le montant des sanctions en Europe

Au programme. Le 18 janvier 2021

  • article / sanctions H&M
  • article / sanctions Google
  • article / sanctions Carrefour / avec les délibérations et pour approfondir les références aux articles de la CNIL

Au programme. Le 25 janvier 2021

  • Règles de l’ANSSI et de la CNIL à suivre / Quels Plans d’Actions ? (source : I-Trust)

Rappel du contexte réglementaire : le RGPD.

General Data Protection Regulation (GDPR) ou Réglement Général pour la Protection de données (RGPD)

Date : entrée en vigueur le 26 mai 2016 ; applicable à partir du 25 mai 2018.

Dispositif : le nouveau règlement européen modifie le cadre juridique relatif à la protection des données à caractère personnel au sein de l’Union européenne. Les entreprises devront déclarer aux autorités de leur pays (et dans certains cas aux personnes concernées) les violations de données à caractère personnel sous 72 heures en suivant les dispositions spécifiques du GDPR  et en conservant un registre de violation.

Champ d’application : toutes les entreprises qui collectent, traitent, et stockent des données à caractère personnel.

Sanctions : action judiciaire des individus pour réclamer des dommages et intérêts ; actions de groupe ; amende administrative jusqu’à 20 millions d’euros ou 4% du Chiffre d’Affaires mondial.

Il s’attarde sur les risques de notre époque post-moderne (violation de données, perte des données, traitement illicite de données…).

Pour en savoir plus : « Règlement Général pour la Protection des Données. Comment l’entreprise doit-elle protéger les données personnelles ?, Cahier technique de l’AMRAE, juillet 2018.

Quelques Chiffres

En 2020, le montant des amendes pour non-respect du RGPD s’élève à 171 millions d’euros. C’est l’Italie qui a infligé le plus de sanctions, avec 34 infractions constatées, soit un montant correspondant à 58,16 millions d’amendes.

Le nombre d’affaires croissant porté devant les autorités de protection des données personnelles devrait toutefois mener à une hausse du montant total de sanctions dans les années à venir, notamment après l’invalidation du Privacy Shield par la Cour de Justice européenne (CJUE).
En 2020, le montant des amendes pour non-respect du RGPD s’est élevé à 171 millions d’euros

C’est l’Italie qui a infligé le plus de sanctions.

Le classement des pays qui ont infligé le plus d’amendes au titre du règlement général sur la protection des données vient de sortir. Selon Finbold, le montant total des sanctions s’élève cette année à 171,3 millions d’euros. C’est l’Italie qui arrive en tête du classement avec 34 infractions constatées pour ses entreprises et un total de 58,16 millions d’euros d’amendes infligées.

L’étonnante dernière position de l’Irlande

En mai 2018, après plusieurs années de réflexion et de travail, le RGPD voyait le jour. Ce règlement européen précède à la directive 95/46/CE instaurée en 1995 par le Parlement Européen. Un véritable chantier juridique qui semble désormais porter ses fruits. En effet, si entre mai 2018 (date d’entrée en vigueur du texte) et janvier 2020, seulement 114 millions d’euros d’amendes avaient été comptabilisés, entre janvier 2020 et décembre 2020, le montant total des sanctions est plus élevé. Il atteint précisément 171,3 millions d’euros.

Il est intéressant de s’arrêter sur le classement des pays. Premier constat étonnant : l’Irlande est en dernière position dans ce classement des pays qui ont infligé le plus d’amendes au titre du RGPD. Seulement 630 000 euros d’amendes. Ce pays est pourtant le centre névralgique de la protection des données. C’est là que Google, Facebook, LinkedIn, Microsoft, Airbnb, Hubspot, Stripe, Smartbox, Dropbox, Slack, Salesforce ou encore IBM ont leur siège social… Des entreprises susceptibles de ne pas respecter le règlement général sur la protection des données.

La France inflige 3 millions d’euros d’amendes

En première position de ce classement, nous retrouvons l’Italie. La Garante per la protezione dei dati personali, l’équivalent de la Cnil en Italie, a délivré un total de 58,16 millions d’euros d’amendes. Parmi les entreprises concernées, nous retrouvons Eni Gas et Luce, un fournisseur italien d’électricité et de gaz. L’entreprise a dû s’acquitter d’une grosse amende de 11,5 millions d’euros. Le Royaume-Uni se classe en deuxième position avec 49,3 millions d’euros d’amendes. On se souvient notamment de l’amende prononcée à l’encontre de British Airways.

L’Allemagne est troisième avec 37,39 millions d’euros d’amendes. Ensuite nous retrouvons la Suède, l’Espagne et la France en sixième position avec seulement 3 millions d’euros d’amendes. L’amende la plus importante est celle dont Carrefour Banque a dû s’acquitter en fin d’année. En 2021, l’invalidation du Privacy Shield par la Cour de justice européenne (CJUE) devrait représenter un véritable défi pour les autorités de protection des données. 5 300 entreprises sont concernées et cela rebat totalement les cartes des flux de données. Enfin, notons que malgré le Brexit, le RGPD reste applicable jusqu’en juillet 2021.

Par Valentin Cimino 

 

élargissement du domaine du risque, éthique-gouvernance, médias et amplification du risque, réputation-image, RISQUES

Risque de Reputation : Quelles Evolutions ? Médias, E-REPUTATION, ETHIQUE

Laisser un commentaire

Risque de Réputation. Définition

Dans notre ouvrage « La Fonction Risk Manager. Organisation, Méthodes et Positionnement », Editions Gereso, 2019, Nicolas Dufour et moi-même reprenons la définition de Rayner (2003) : « toute action, évènement ou circonstance qui pourrait avoir un impact positif ou négatif sur la réputation d’un organisme…ou encore… comme un ensemble de perceptions et opinions présentes ou passées sur un organisme, nichées dans la conscience des parties prenantes. » p.35

https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

Voir blog janvier 2020 / « What Price Reputation ? Impact d’une dégradation de l’image sur la valorisation boursière. »

Voir blog septembre 2020 / « Risque de réputation. Définition, illustration à travers les affaires Nike 1990-2000, 2020. »

Risque de Réputation. Les médias comme amplificateur de risque.

Nous présentons les médias comme un des deux amplificateurs du risque qui a contribué à mettre en place l’image d’un monde plus risqué : « les médias tendent à amplifier la notion de responsabilité du dirigeant en cas de négligence et les logiques de compensation…Ces évolutions rendent les entreprises plus vulnérables et le risque est partout mais ce qu’elles craignent le plus, c’est la perte de réputation. » p.58.

Risque de Réputation. Evolutions : e-réputation ; éthique

Les entreprises doivent de plus en plus compter avec la viralité des réseaux sociaux. Le risque de réputation croise de plus en plus le risque éthique dans sa dimension développement durable et de plus en plus dans sa dimension gouvernance (respect des engagements pris).t soigner leur e-réputation. Le risque de réputation est exacerbé. Le rôle des médias et ces évolutions récentes (e-réputation / éthique de l’entreprise) sont très bien illustrés dans l’étude VISIBRAIN. Je vous propose un extrait de l’article d’Olivier Cimelière sur ce sujet ; vous pouvez le lire dans son intégralité sur son blog, le blog du communicant, en cliquant sur le titre de l’article.

Réputation des marques : 5 enjeux numériques à intégrer en 2021

2021, année de tous les dangers réputationnels ? A l’aune de cette année très particulière qui s’achève (enfin !) et qui aura dopé comme jamais les conversations et les contenus en ligne, Visibrain, la plateforme de veille d’Internet et des réseaux sociaux, a tracé 5 tendances majeures qui devraient perdurer, voire s’amplifier à l’encontre des marques et des entreprises. Points saillants d’un rapport instructif.

Pour le meilleur et pour le pire, l’année 2020 marque la consécration du digital dans la construction des réputations et des perceptions. Confinement oblige, jamais les citoyens ne se sont autant connectés sur les réseaux sociaux. Même si chaque génération a ses terrains numériques de prédilection, le volume des conversations et des partages de contenus n’a cessé de gonfler. La pandémie de la Covid-19 est évidemment le vecteur principal des commentaires des internautes. Néanmoins, les causes sociétales et environnementales ne sont pas en reste. Pour les marques et les entreprises, il s’avère plus que jamais d’être agile face aux menaces comme aux opportunités sous peine de réputation entamée.

Tendance n°1 : La réputation des marques est plus que jamais liée aux enjeux de société

Les débats sociétaux et environnementaux rattrapent et embarquent de plus en plus les marques. Même si ces dernières sont loin d’être demeurées à l’écart en lançant des programmes de développement durable, en soutenant des initiatives citoyennes et en se préoccupant davantage de leur raison d’être, elles sont de plus en plus souvent interpelées, voire sommées de s’engager et prendre des positions sur un sujet donné. En 2020, les thèmes n’ont pas manqué. Il y a bien sûr eu la crise sanitaire où les entreprises ont redoublé d’efforts pour apporter une contribution à mesure de leurs expertises et de leurs possibilités. Cela ne doit pas occulter d’autres causes qui ont tiré par la manche nombre de marques afin qu’elles évoluent dans leur positionnement ou leurs promesses.

A cet égard, on peut citer deux cas emblématiques : l’arrestation mortelle de George Floyd aux USA qui a entraîné l’explosion du mouvement #BlackLivesMatter et la campagne intense autour de l’esclavagisme de la minorité ouïghoure pratiqué par le gouvernement chinois. Dans le premier cas, plusieurs marques renommées ont senti le vent du boulet à tel point que le groupe Mars, propriétaire de la célèbre marque Uncle Ben’s, a décidé de se débarrasser de la bobine conviviale de son effigie face à la résurgence d’un passé esclavagiste dans les Etats du Sud. D’autres marques se sont engouffrées à leur tour dans le débat antiraciste mais non sans déclencher parfois des grincements de dent et des critiques cinglantes. Nike s’est aussi profondément impliqué avant de se faire flasher par le deuxième cas. Une ONG accuse en effet la marque d’exploiter le travail forcé des Ouïghours dans des manufactures chinoises.

Ces illustrations montrent concrètement que les entreprises ne peuvent plus ignorer la tectonique permanente des enjeux de société. Le rapport Visibrain note ainsi : « La RSE, qui était jusqu’alors un moyen de différenciation, est aujourd’hui un prérequis. Il en va de même pour le bien-être animal, l’égalité homme-femme, mais aussi le respect des droits de l’Homme, autant de causes qui prennent de plus en plus de place sur la scène sociale et pour lesquelles il faudra rendre des comptes en cas de mauvaises conduites. Ainsi, le degré d’engagement social d’une marque contribue directement sur sa perception, positivement comme négativement ».

Tendance n°2…

Blog Le Communicant. O. Cimelière. Décembre 2020

élargissement du domaine du risque, Corruption, GESTION DES RISQUES, loi sapin II, quantification-cartographies, RISQUES

Risques de corruption. Dispositifs anti-corruption : des progrès à faire

Laisser un commentaire

Dans les archives mensuelles (situées tout en bas à gauche de la page) ou en recherchant « Risque de corruption » retrouver et relire :

  1. Loi Sapin : rôle du régulateur-législateur et résumé de la loi / article « Trois ans après, où en sont les entreprises ? » ; Archives octobre 2020
  2. Cartographies de risques de corruption ; Archives juillet 2020

Aujourd’hui après la présentation de la loi, le bilan à N+3 et la présentation de l’outil de gestion des risques, je vous propose un article sur les progrès dans la mise en place des plans d’actions anti-corruption.

Dispositifs anti-corruption : des progrès à faire

Grant Thornton a publié début octobre la 3e édition de son baromètre sur les dispositifs anti-corruption des entreprises. Axé cette année sur la maturité, il constate des progrès dans tous les domaines mais pointe également de nombreux retards.

Près de 4 ans après l’instauration de la loi Sapin 2, où en sont les entreprises en termes de dispositifs anti-corruption ? C’est la question à laquelle le Baromètre de Grant Thornton consacré au sujet essaie de répondre, pour la troisième année consécutive. « Le constat général est qu’il y a des progrès dans tous les domaines même si c’est parfois un peu poussif », résume Nicolas Guillaume, Business Risk Services & Forensic Lead Associé chez Grant Thornton qui a supervisé la réalisation de ce baromètre. Il reconnaît cependant que le baromètre Grant Thornton est exigeant puisque pour être jugé conforme en termes de dispositif anti-corruption, il faut être conforme à tout.

Difficile évaluation des tiers

Et force est de constater que peu d’entreprises sont en conformité : 90% des entreprises sont  » non conformes « . Ce chiffre est certes un mieux par rapport à 2019 (seules 6% des entreprises étaient alors conformes) mais il y a encore de nets progrès à faire, notamment dans le domaine de l’évaluation des tiers : seules 19% d’entités sont conformes. « C’est opérationnellement très lourd de passer au peigne fin toute sa chaîne, d’autant plus quand le business est très éclaté, avec beaucoup de transactions », analyse Nicolas Guillaume.

Deux autres thèmes progressent doucement : le dispositif de suivi (44% d’entités conformes) et les contrôles comptables (46%). « Sur les contrôles comptables, les entreprises rencontrent des difficultés à identifier quels sont les points spécifiques à relever et comment s’organiser pour le faire. Quant au dispositif de suivi, ce n’est pas étonnant qu’il ne soit pas avancé : il faut d’abord progresser sur les autres sujets », explique Nicolas Guillaume.

Doublement de la maturité sur la cartographie des risques

Le Baromètre note par contre de gros progrès en matière de cartographie des risques : nous avons presque constaté un doublement de la maturité, les entreprises conformes étant passées de 40% en 2018 à 71% aujourd’hui », rapporte

L’associé Grant Thornton souligne également que si la proportion d’entités totalement conformes évolue lentement (10% contre 6 % précédemment), le taux de conformité moyen progresse quant à lui fortement, passant de de 57 % à 79 %.

Prévention des risques

Les progrès sont là mais les entreprises doivent mieux faire, ne serait-ce que pour éviter de se faire rattraper par le régulateur sur les questions d’anti-corruption. « Il y a également un aspect de responsabilité sociétale : les entreprises ont tout intérêt à utiliser leurs ressources dans d’autres sujets qu’en faveur d’intermédiaires véreux », souligne Nicolas Guillaume. Il insiste aussi sur la notion de risque : « Un dispositif efficace peut permettre d’éviter de se faire piéger par des gens peu scrupuleux et de protéger son activité ».

C’est pourquoi la cartographie des risques est si importante : cela permet de prendre conscience de la nécessité d’agir sur certains sujets dans l’intérêt de son entreprise. « Les entreprises débutent leurs travaux pour des raisons réglementaires mais quand les dirigeants se rendent compte en avançant que des collaborateurs se sont retrouvés dans des situations compliquées le sujet devient moins technocratique et les intéresse davantage », observe Nicolas Guillaume.

L’associé Grant Thornton rapporte par ailleurs que le panel du Baromètre est constitué d’entités non soumises aux exigences de la loi Sapin 2 mais qui ont décidé volontairement d’engager les démarches pour satisfaire aux exigences. « Ces entités évoluant majoritairement à l’international et ayant des clients soumis à Sapin 2 ont perçu l’enjeu commercial de se positionner comme un partenaire compliant« , pense Nicolas Guillaume.

Identifier les enjeux

Nicolas Guillaume reconnaît cependant la complexité de certains sujets de la loi Sapin 2. « L’Agence française anticorruption (AFA) est en train de mettre à jour certaines de ses recommandations : elles seront plus explicites pour les entreprises », indique Nicolas Guillaume. Il entrevoit un autre problème à la mise en place des dispositifs anti-corruption dans les entreprises : le manque de temps et de ressources. « Dans la période actuelle, les entreprises ont de plus d’autres préoccupations ».

Il conseille de débuter par une cartographie des risques établie avec sérieux afin d’identifier les sujets à enjeux pour l’entreprise. « Cela permet de ne pas adopter une approche monolythique : il s’agit non pas de faire tous les tiers ni tous les contrôles comptables à la fois mais de se concentrer sur les vraies zones d’enjeux », recommande-t-il.

Nicolas Guillaume insiste aussi sur la culture d’entreprise: « Les procédures sont importantes mais ce qui compte c’est la façon dont se comportent les collaborateurs face à une situation compliquée : il s’agit d’éduquer les gens, de leur faire prendre conscience de ces problématiques afin qu’ils acquièrent les bons réflexes ». Les dispositifs anti-corruption comprennent donc un volet management et formation.

Eve Mennesson. 2 nov. 2020 

approche socio-cognitive: rex, apprentissage, élargissement du domaine du risque, cyberisque-cybersécurité, GESTION DES RISQUES, RISQUES, suivi des risques-analyse des résultats

Cloture du CYBERMOIS : L’apprentissage par le jeu comme outil de sensibilisation des equipes à la Cybersecurité

Laisser un commentaire

La mise en place par certains Risk Managers d’outils hors contrôle tels que le retours d’expérience, les réunions, la responsabilité des opérationnels, l’appropriation des outils permettraient aux Risk Managers d’avoir l’appui des opérationnels et d’acquérir une légitimité cognitive (celle qui consiste à s’ancrer dans l’inconscient collectif pour être compris par les parties prenantes, devenir incontournable ; elle est le « graal » de la légitimité.) Nous évoquons ces outils dans nos travaux (Aubry et Montalan, 2007) et dans l’ouvrage La Fonction Risk Manager. Organisation, méthodes et positionnement (2019, p.96).

https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

L’apprentissage par le jeu fait notamment son apparition pour sensibiliser les équipes à l’enjeu de la cybersécurité.

Je vous propose ci-dessous pour clôturer le Cybermois :

  1. Un jeu proposé par l’ANSII pour vous tester
  2. Un article sur l’apprentissage de la cybersécurité par les serious games

Pour clôturer le Cybermois, l’ANSSI propose cet apprentissage par le jeu.

ILLUSTRATION

C’est à vous de jouer !
Pour la dernière semaine du #Cybermois, Léa, alias Dark Sissi, cherche de nouvelles victimes sur #Internet … Qui va-t-elle cibler aujourd’hui ? #cybersécurité #rançongiciel
Et vous, que feriez-vous ?
➡️ https://lnkd.in/dDh_eNr

Et vous, que feriez-vous ?

cybermois.fr • Lecture de 1 min

Pour clôture le Cybermois, je vous propose de découvrir l’univers des serious games :

Sensibilisation à la cybersécurité : les serious game tirent leur épingle du jeu

Vous souhaitez familiariser vos collaborateurs aux enjeux de cybersécurité de votre entreprise ? En les sensibilisant par le jeu plutôt que par des sessions de formation classiques, il devient possible de susciter leur intérêt et d’améliorer leur apprentissage. Bonnes pratiques.

Pour sensibiliser leurs équipes à ces épineuses questions, les entreprises recourent traditionnellement à des sessions de formation. Le décor : une salle de réunion peuplée de collaborateurs plus ou moins attentifs. Sur scène : un formateur faisant défiler les slides d’une présentation avec le rythme d’un métronome. Ce format comporte de nombreuses limites, notamment celle de devoir assimiler un très grand volume d’informations en un temps restreint. La session présentielle étant peu interactive, les participants se sentent moins impliqués, ce qui influe sur la quantité d’informations retenues

e-Learning, la panacée ?

Avec la démocratisation du e-learning dans les années 2000, les entreprises ont pu affiner leur stratégie de formation, avec la possibilité d’inclure des cas pratiques concrets, et proposer ces modules à un grand nombre de salariés, permettant à chacun de se former au moment qui l’arrange. Cependant, l’e-learning à lui seul reste insuffisant. Rapidement lassés par un format redondant, les apprenants finissent par faire défiler les modules de manière automatique, sans assimiler les contenus. Tout miser sur l’e-learning serait donc une erreur.

Pour impliquer les collaborateurs, les méthodes d’apprentissage les plus ludiques tirent aujourd’hui leur épingle du jeu. Celles-ci permettent de mémoriser des informations sans s’en rendre compte. Il est ainsi conseillé de miser sur une approche plus informelle, en imaginant des campagnes de sensibilisation marquantes, fondées sur le jeu, renforçant la cohésion d’équipe.

Pour marquer les esprits, le mieux est de simuler par le jeu les conséquences d’une attaque informatique. Il peut s’agir par exemple de démonstrations de piratage d’outils bureautiques, via de fausses campagnes de phishing ou des prises de contrôle de PC à distance. Pour un public évoluant au sein d’environnements industriels, le piratage de maquettes SCADA est aussi très visuel et montre très bien l’impact d’une cyberattaque sur une chaîne de production.

Questions pour un cyber-champion

Parce que le sel du jeu, c’est la compétition, organiser un challenge entre les collaborateurs au cours d’une session de formation permet de dynamiser l’apprentissage et de faciliter l’appropriation des messages-clés. Plusieurs formats peuvent inspirer les entreprises. Ainsi, le code de la cybersécurité reproduit les sessions du code de la route, en mettant à disposition des participants une télécommande pour répondre à une question parmi quatre propositions. Ces séances sont l’occasion d’aborder les bonnes pratiques du quotidien comme le verrouillage des sessions, la politique de mots de passe ou les bons réflexes en cas d’impression d’un document.

Les collaborateurs peuvent également s’affronter autour de Questions pour un cyber-champion : 200 questions traitent des bases de la cybersécurité, des simples bonnes pratiques pour protéger ses données personnelles, en passant par des thèmes plus difficiles abordant les protocoles sécurisés, les attaques informatiques, ou les équipements de sécurité, etc.

Jeu de cartes, escape game : les vertus de l’apprentissage en équipe

L’apprentissage collaboratif compte parmi les solutions les plus efficaces. La discussion permet en effet de reformuler les notions, facilitant ainsi leur appropriation. Ce travail d’équipe va également participer au renforcement des liens entre les salariés. Orange Cyberdefense a par exemple conçu un jeu de cartes pour découvrir les menaces liées à la navigation sur Internet. Chaque joueur doit déjouer les attaques informatiques de ses adversaires en mettant en œuvre les bonnes pratiques de sécurité.

Pour aller plus loin, un escape game au cours duquel les participants se mettent dans la peau d’un espion offre une expérience encore plus réaliste. Par équipe de cinq, ils doivent voler une formule secrète en moins d’une heure, en tirant parti des mauvaises pratiques de sécurité (mots de passe, mauvaise manipulation de documents, etc.).

Ces vecteurs de sensibilisation ludiques et innovants viennent ainsi compléter les approches plus traditionnelles utilisées en entreprise. Ce type de démarche suscite un intérêt particulier auprès des équipes qui enrichissent leur culture en cybersécurité et adoptent des comportements plus vertueux.

Notes : *Intermedia, 2017, Data Vulnerability Report

élargissement du domaine du risque, cyberisque-cybersécurité, RISQUES

The European Cybersecurity Month 2020

Laisser un commentaire

Au programme : en savoir plus / une menace croissante / où chercher l’information ? / quels métiers ? / un exemple de cyberrésilience.

Ce mois d’octobre marque le 8e mois européen de la cybersécurité de l’Union européenne.

Pour en savoir plus sur la campagne et s’impliquer dès aujourd’hui. https://europa.eu/!Xr98gU

Une menace informatique croissante et en mutation.

Entre septembre et mi-octobre 2020 : un quartier de Londres victime d’une cyberattaque d’envergure, la ville de Besançon, Edenred, ORPEA, Groupe CMA CGM, Bridgestone Norvège, Le Ritz, Garmin. 

Il est nécessaire d’identifier le risque, de l’évaluer et de mettre en place des PCA si ceux-ci sont nécessaires.

Quelles ressources ?

Guide « Organiser un exercice de gestion de crise cyber » réalisé par l’ Agence nationale de la sécurité des systèmes d’information (ANSII) en collaboration avec le Club de la Continuite d’Activite (CCA). L’amélioration de la résilience numérique par l’entraînement à la gestion de crise cyber n’est plus seulement une opportunité, mais bien une nécessité pour toutes les organisations.
Ce nouveau guide vise à accompagner, pas à pas, les organisations dans la mise en place d’un exercice de gestion de crise d’origine cyber vraisemblable et formateur, pour les joueurs comme pour les organisateurs ;

https://lnkd.in/dfs2pQf

Revue annuelle de l’ANSII, Edition 2020, disponible sur le site de l’organisation;

Guide ANSII-AMRAE « Maîtrise du Risque Numérique », disponible sur les sites des deux organisations ;

« Anti Fraud Playbook » publié par the Association of Certificated Fraud Examiners

A venir :

Conférence « Du cyber risque à la cyber résilience : quels enjeux pour la direction juridique ? » animée par Philippe Cotelle, lors du Sommet du Droit en Entreprise 2020.
📌 Mercredi 25 Novembre 2020 à partir de 14h15
📌 Pavillon d’Armenonville, allée de Longchamp, Paris 75116
📌  Rendez-vous sur le site web : 

https://lnkd.in/dZ4kuf9

Quels sont les métiers de la cybersécurité ?

L’ANSII vient de publier le panorama des métiers de la cybersécurité. A retrouver sur https://graces.community

Parce que la gestion des risques ça marche : un exemple de cyberrésilience.

ORPEA a résisté à une cyberattaque

Orpea a révélé avoir détecté dans la nuit du 17 septembre l’intrusion d’un logiciel malveillant sur certains de ses serveurs. Les équipes de sécurité informatique ont pris les mesures immédiates pour sécuriser les systèmes, isoler les serveurs concernés (moins de 1% de la totalité des serveurs) et fermer temporairement l’ensemble du réseau, empêchant ainsi la propagation du logiciel. Cette interruption volontaire a provoqué des perturbations sur les systèmes informatiques mais n’affecte en rien la continuité des soins et la vie sociale au sein des établissements du groupe.

Après l’analyse d’experts reconnus en cyber sécurité et grâce à la réactivité et au bon fonctionnement des systèmes de sécurité, l’ensemble des sauvegardes sont intactes et aucune donnée n’a été détruite ou transférée.

L’infrastructure informatique du groupe, ses logiciels et applications et l’ensemble des données sont sains et n’ont subi aucun dommage.

Les équipes IT et des experts externes en cyber sécurité travaillent activement pour relancer progressivement l’ensemble des serveurs et des applications.

La direction générale a souhaité que ce processus se déroule étape par étape avec une extrême vigilance, et avec toutes les précautions nécessaires. Le bon fonctionnement, tant des établissements que des services administratifs, est assuré.

Orpea a informé les autorités compétentes de cet acte de malveillance.

élargissement du domaine du risque, environnement, responsabilité pénale des dirigeants, RISQUES

Préjudice écologique et responsabilité environnementale, quelle responsabilité pour l’entreprise ?

2 commentaires

Pour continuer sur les risques environnementaux des entreprises.
Pollution de l’air ou de l’eau, dépollution d’un site… Les atteintes à l’environnement sont de plus en plus présentes.

Trop souvent sous-estimés, complexes, longs et onéreux à réparer…

Face au risque écologique, quelle responsabilité pour l’entreprise et ses dirigeants ?

En pleine actualité Lafarge – pollution de la Seine – (voir article de la semaine dernière), je vous propose pour en savoir plus sur le risque environnemental un podcast éclairant.
Ecoutez sur ce sujet le Responsable des risques environnementaux de Chubb.  

Ecouter le podcast

chubb.com

élargissement du domaine du risque, environnement, responsabilité pénale des dirigeants, RISQUES

Risque EnVIRONNEMENTAL. DEFINITION. ILLUSTRATION : LAFARGE

Laisser un commentaire
<p value="<amp-fit-text layout="fixed-height" min-font-size="6" max-font-size="72" height="80"><strong>Pourquoi le risque devient-il une variable centrale de la réflexion organisationnelle des entreprises ?</strong>Pourquoi le risque devient-il une variable centrale de la réflexion organisationnelle des entreprises ?

Il le devient sous l’effet de cinq facteurs.

Le premier est l’élargissement du domaine de la gestion des risques Au début des années 1990, de nouveaux risques voient le jour : les changements technologiques dans le système d’informations font partie des premiers cités par les entreprises. Des qualificatifs viennent préciser la nature du risque : aux risques traditionnels (incendie, inondation…) s’ajoutent le risque éthique, le risque environnemental.

Encadré 3 – Le risque éthique  

L’éthique peut être définie comme la mise en pratique quotidienne des valeurs de l’entreprise et plus largement le respect des valeurs humaines et sociétales. Elle a pris de plus en plus de place dans les cursus universitaires comme dans le discours des hommes politiques et des entrepreneurs qui la déclinent en : (1) développement durable en matière d’environnement ; le risque éthique est alors proche du risque environnemental ; (2) gouvernance ; il s’agit alors de respect des engagements pris, de transparence et ouverture aux besoins de l’environnement dans lequel opère l’organisation, de prise en compte des parties prenantes (actionnaires et autres)[1]. Ainsi le niveau éthique d’une entreprise sera celui de ses dirigeants et de ses salariés, se traduisant par une pratique commune et cohérente avec les valeurs affichées.

En pratique, cette considération se traduit notamment par la capacité de la gestion des risques à amener le débat sur des risques sous-estimés : le risque de corruption, de conflits d’intérêt, le risque de fraude interne, le risque de blanchiment des capitaux, le risque de dérive des prestations externalisées, le curseur que l’entreprise doit mettre sur sa sécurité au travail.

Source : extrait La Fonction Risk Manager. Organisation, Méthodes et Positionnement ; p. 30 ; Aubry C et Dufour N.

C’est à ce risque que l’entreprise Lafarge est aujourd’hui confrontée.

Ouverture d’une enquête après une « suspicion de pollution » de la Seine par Lafarge

Europe 1 révèle que l’entreprise a laissé s’écouler des boues polluées au ciment et au plastique dans la Seine. Pour l’Association agréée de pêche et de protection du milieu aquatique, cette pollution est volontaire. La Mairie de Paris a annoncé qu’elle allait porter plainte.

Le parquet de Paris a annoncé l’ouverture d’une enquête à l’encontre du cimentier français Lafarge, pour « suspicion de pollution de la Seine par une entreprise de travaux publics ».L’industriel a laissé s’écouler dans la Seine, en plein Paris, des boues polluées au ciment et au plastique : un « incident » reconnu par l’entreprise, qui toutefois nie le caractère volontaire de cette pollution dénoncé par une association, rapporte Europe 1 mardi 1er septembre.

La Mairie de Paris a annoncé qu’elle allait porter plainte contre Lafarge. « C’est un véritable scandale écologique, alors que nous travaillons avec nos partenaires depuis de nombreuses années pour améliorer la qualité du fleuve. La Ville de Paris va saisir le procureur de la République pour ces faits graves qui portent atteinte à notre environnement », a réagi Anne Hidalgo, la maire de Paris, sur Twitter.

Près du ministère de l’économie, dans le 12e arrondissement de la capitale, le cimentier Lafarge dispose d’un entrepôt sur les quais de Seine. Sur une vidéo publiée par Europe 1, on voit un camion à béton vider sa cuve dans une autre cuve sur le quai, mais celle-ci est percée et laisse s’écouler une eau blanchâtre dans le fleuve parisien. Selon la radio, ce qui s’échappe est « un mélange liquide de particules de ciment et de tiges en plastique ».

« Clairement, c’est volontaire. Dans ces cuves, ce sont toutes les eaux et les restes de béton fabriqué dans la journée qui reviennent dans les camions en fin de journée, dénonce à Europe 1 Jacques Lemoine, agent de développement de l’Association agréée de pêche et de protection du milieu aquatique (AAPPMA). Ensuite, la société est censée traiter ses déchets. »

Lafarge plaide l’erreur

L’Office français de la biodiversité, une agence de l’Etat, a porté plainte pour cette pollution environnementale, assure la radio, et des constats ont été effectués par la police, qui a transmis l’affaire à la justice. Lafarge déplore auprès d’Europe 1 « un incident tout à fait exceptionnel et indépendant de sa volonté » et se dit « victime d’une détérioration manifestement délibérée d’une plaque d’étanchéité qui a entraîné un écoulement temporaire d’eau recyclée dans la Seine ». L’entreprise compte également porter plainte.

Mais pour l’AAPPMA, cette pratique est ancienne ; ses membres ne croient pas à la non-implication de l’entreprise, récemment fusionnée avec le suisse Holcim, devenue LafargeHolcim. Pour l’AAPPMA, cette pollution « étouffe les poissons et pollue les algues ».

En mars 2020, une filiale du groupe Vinci avait été condamnée à 90 000 euros d’amende – dont 40 000 avec sursis – pour avoir déversé, « de manière accidentelle »« de l’eau grise chargée de sable et de traces de ciment désactivé » dans la Seine, en aval de Paris. L’entreprise avait été condamnée dans le cadre d’une procédure de « comparution sur reconnaissance préalable de culpabilité ».

Le Monde

[1] Selon Freeman (1984), une partie prenante désigne un groupe ou un individu qui peut affecter ou est affecté par la réalisation des objectifs de l’organisation.

élargissement du domaine du risque, cyberisque-cybersécurité, RISQUES

Avant dernier post avant la déconnexion estivale. A écouter : CYBERSECURITE : tous concernés !

Laisser un commentaire

Un grand merci à la Mêlée Numérique de m’avoir permis de participer à la première édition Jobstic 100% en ligne ! 🤩 Initialement prévue le 25 mars, elle s’est tenu en ligne la 25 juin. Super organisation !

Stéphanie BUSCAYRET – Chief Information Security Officer (CISO)  du groupe LATECOERE – , classée dans les « 100 français qui comptent dans la Cybersécurité », Rémy DAUDIGNY – Délégué Occitanie de l’ANSII -, Laurent Simeoni – Chargé de Mission Lutte contre la cybercriminalité à POLE EMPLOI -, Fabrice Vermande – Product Security Engineer au sein du groupe AIRBUS – et moi-même avons participé à la première table ronde :

 » Cybersécurité, tous concernés ».

Si vous souhaitez nous écouter, voir ou revoir les tables rondes et l’atelier, c’est par ici 👉 https://lnkd.in/gdJyziu

Encart pub

 

élargissement du domaine du risque, Corruption, GESTION DES RISQUES, quantification-cartographies, RISQUES

Etablir une cartographie des risques de corruption

3 commentaires

Le législateur a adopté des textes ciblant des risques spécifiques : financier et éthiques. Ils ont en commun de conduire les entreprises à mettre en place des plans d’actions de prévention et de renforcer la responsabilité des dirigeants.

La loi Sapin II du 9 décembre 2016 vise à prévenir les risques de blanchiment des capitaux, de financement du terrorisme et de la corruption – la corruption est le fait pour toute personne de solliciter une personne dépositaire de l’autorité publique, moyennant rémunération, un acte relevant de ses fonctions -.

Elle propose six mesures pour cartographier le risque de corruption et le prévenir au niveau organisationnel et individuel. Cette loi n’oblige pas à une communication extérieure spécifique mais elle engage la responsabilité personnelle des dirigeants et celle de la société en tant que personne morale.

Nicolas Dufour et moi-même présentons davantage la loi Sapin II dans notre ouvrage ; voir « La Fonction Risk Manager. Organisation. Méthodes et Positionnement », Ed Gereso, p.50.

L’article ci-dessous réfléchit à la manière de construire une cartographie des risques de corruption.

La démarche est une démarche « classique » de construction d’une cartographie (voir Chapitre 4, Méthodes, démarches et outils des Risk Managers de notre ouvrage, p.127). Les grandes étapes sont :

  • d’identifier les risques, passés, présents et émergents ;
  • d’évaluer le niveau de criticité des risques en tenant compte de leur probabilité de survenance et de leur impact ;
  • de hiérarchiser les risques ;
  • d’identifier les zones de risques insuffisamment couvertes par le dispositif de maîtrise ;
  • de mettre en place des plans d’actions et des outils de reporting.

La démarche présente certaines spécificités propres aux risques de corruption évoqués dans l’article.

Vous y retrouverez également une approche de la gestion des risques et des outils utilisés qui me sont chères et que je développe dans mes travaux (voir Chapitre 2, L’activité des Risk Managers de notre ouvrage, p.94) :

  • la connexion avec les opérationnels et les processus / l’implication de la direction générale / la collaboration avec les autres fonctions pour mettre en place la démarche
  • les ateliers et les entretiens individuels pour identifier et évaluer les risques ;
  • la responsabilisation des acteurs et la proactivité pour les analyser et les suivre.

La gestion des risques et la cartographie et la gestion des risques deviennent ainsi des outils de pilotage – évolutifs et vecteurs d’innovation -.

Etablir la cartographie des risques de corruption : un défi en pratique

« Près de 3 ans après l’entrée en vigueur de la loi Sapin II, bon nombre d’interrogations planent encore quant à la meilleure méthodologie à déployer pour construire une cartographie des risques de corruption. Dans leur chronique, Stéphanie Dominguez, senior manager et Stella Vitchénian, associée global assurance, gestion des risques, contrôle interne et conformité chez KPMG France, nous livrent leur mode d’emploi.

Le sujet de la cartographie des risques reste sensible et l’exercice relativement technique. Si certaines modalités de réalisation sont communes à tous les exercices de cartographie, d’autres relèvent d’un dispositif plus spécifique, propre aux particularités de ce domaine de risques. Pour apporter un éclairage sur la question, il peut être utile de balayer quelques idées reçues.

Gestion des risques et conformité

Il est établi aujourd’hui que réaliser une cartographie des risques de corruption efficace et pertinente est un exercice qui fait appel à deux expertises cumulatives et complémentaires : une expertise de la conformité (ou compliance) d’une part et une expertise méthodologique de la gestion des risques d’autre part. Ceci étant dit, la fonction conformité n’est pas toujours portée par quelqu’un qui possède ces deux expertises. Il est donc courant dans cette situation que les sociétés fassent appel – et c’est une pratique tout à fait légitime – à un soutien externe, nécessaire pour ne pas avoir à réitérer / revisiter l’exercice à courte échéance voire à revoir complètement la méthodologie a posteriori.

Ce que la cartographie n’est pas…

La cartographie des risques de corruption n’est pas un audit et encore moins une investigation, il s’agit d’avoir une image à un instant donné des zones d’exposition potentielles et des risques de corruption susceptibles de survenir au sein de son entreprise.

La cartographie des risques doit intégrer l’ensemble des dimensions des risques de corruption affectant une entité. Pour autant, la cartographie des risques de corruption n’est pas une liste exhaustive de l’ensemble des risques auxquels est exposée une entité. Elle doit être adaptée au contexte de l’entreprise. Elle ne fonctionne pas seule et doit être reliée à la cartographie des risques globaux et opérationnels du groupe pour avoir une vraie cohérence.

Ce dispositif ne doit pas être le fruit d’une réflexion théorique et très chronophage pour les opérationnels, déconnectée des opérations, des processus et de l’environnement de gestion des risques et de contrôle interne de l’entreprise. Elle ne devrait pas non plus être un outil complexe et sophistiqué, ni un instrument destiné exclusivement au management.

Une cartographie pertinente doit au contraire se concevoir pour devenir un outil de pilotage utile à tous et constituer le socle du déploiement du programme de conformité de l’entreprise, et ce de façon différenciée et éclairée dans toutes ses strates. Il doit s’agir d’un outil utile, opérationnel, homogène mais évolutif. Véritable pierre angulaire, elle permettra au responsable de la conformité –  group compliance officer, responsable ou directeur de la conformité ou toute autre personne qui pilote officiellement la fonction conformité au sein de l’entreprise – de responsabiliser les acteurs du dispositif de prévention, de coordonner les actions engagées ou à engager, d’apprécier leur efficacité et leur degré de maîtrise et de suivre le plan de déploiement et d’amélioration continue de son programme de conformité au sein de l’organisation.

Sensibilisation, diplomatie et écoute

La cartographie étant un exercice interne destiné à recenser les risques de l’entreprise et mieux comprendre les ressorts de leur survenance, le responsable de la conformité adaptera, en accord avec sa direction, la méthode employée à la taille, la (les) zone(s) géographique(s) où le groupe opère ou est implanté, la nature des activités exercées ainsi qu’aux caractéristiques des tiers avec lesquels le groupe interagit dans la marche de ses affaires. Il peut choisir de collecter les informations relatives aux facteurs de risques et d’exposition à la corruption au travers d’ateliers, par entretiens individuels ou encore – mais c’est le moins souhaitable si l’analyse se limite à cela – via l’administration de questionnaires d’évaluation, envoyés aux opérationnels et au management.

Chaque technique est acceptable tant qu’elle est adaptée et que la société est capable – lors d’un audit du régulateur et en conformité avec les recommandations de celui-ci – d’expliciter, documenter et justifier de façon rationnelle et suffisamment robuste les choix méthodologiques retenus.

Par exemple, en pratique, effectuer un unique atelier de 2h réunissant une quinzaine de managers et d’opérationnels pour recenser les risques de corruption de l’ensemble de la zone Europe d’un groupe présent dans 17 pays paraîtra certainement insuffisant.

Au contraire, passer en revue un certain nombre d’indicateurs choisis, exogènes et endogènes, pré-identifier les zones, processus et transactions les plus exposés, puis lancer une mission, avec ou sans aide extérieure, d’un mois avec 15 entretiens individuels de 2h chacun sur les 2 sites d’implantation en Inde par exemple afin d’effectuer une cartographie des risques de corruption adaptée au pays pourra constituer un bon niveau de granularité, ou du moins permettre une meilleure appréhension du niveau de risques de corruption par la direction.

Les entretiens, dont il convient de conserver une trace écrite, doivent refléter l’implication de la direction et de ses collaborateurs. Ceux-ci s’efforceront d’examiner lors des entretiens pour chacun des principaux processus métiers les facteurs de risques et les procédures attenantes, les dispositifs de contrôles existants et les axes d’amélioration à mettre en œuvre par la suite. De plus, il est nécessaire de veiller à la cohérence entre le verbatim collecté lors des entretiens et les notations remontées (criticité du risque ou degré de maîtrise des activités de contrôle) afin de garantir le sérieux et l’implication de l’exercice effectué par tous.

Jusqu’où doit-on aller et à quel niveau de granularité doit-on descendre pour examiner les processus visés ? 

A cette question, il n’y a pas de réponse toute faite et préétablie. Le champ de l’examen est à construire avec les personnes interrogées : si l’entretien du directeur des ressources humaines par exemple, fait ressortir des failles dans les procédures de notes de frais, le responsable de la conformité devra s’intéresser plus particulièrement à ces procédures.

Il faut garder à l’esprit que la construction d’un programme de conformité n’est pas une obligation de résultats mais bien une obligation de moyens, encore faut-il que ces moyens soient réellement donnés par la direction.

L’exercice de cartographie : le premier acte fort d’engagement de l’instance dirigeante ! 

En effet, l’engagement de l’instance dirigeante se reflète d’abord et avant tout dans l’efficacité de la méthodologie déployée, les moyens alloués et le niveau élevé des équipes mobilisées pour aider le compliance officer dans cet exercice.

Dans ce projet stratégique et lourd pour la société, l’erreur est admise. Cependant, le fait d’omettre de faire ressortir le risque de corruption dans un pays donné sous prétexte que son plan d’action sera intégré à ceux des autres pays de la zone géographique à laquelle il appartient peut être considérée comme une autre manière de minimiser la perception des risques pour le groupe.

La bonne pratique réside donc très certainement dans le fait de mettre en avant le choix stratégique de la direction de la société : prioriser son implication pour combattre la corruption au sein du groupe et dans ses filiales plutôt que de réaliser l’exercice à l’économie, en sous estimant les risques, notamment à l’international, en ne faisant preuve que d’un effort faible.

Y-a-t-il un pilote dans l’avion ?

On l’a dit, il est attendu que le responsable de la conformité pilote cet exercice crucial de cartographie avec le soutien réel et visible de l’instance dirigeante au siège comme sur les sites français ou étrangers car de cet exercice dépend le plan d’actions du programme de conformité qui sera porté pendant plusieurs années.

Or, le responsable de la conformité ne pilote pas seul, il sera soutenu par le management, la gouvernance de l’entreprise et les acteurs clés de l’environnement de contrôle du groupe : du comité exécutif au conseil d’administration et à ses comités spécialisés tel le comité d’audit, de la direction des ressources humaines au directeur juridique ou financier, de l’audit interne au contrôle interne et au risk manager, l’implication de tous est la condition de la réussite de ce travail d’équipe, qui s’inscrit dans un projet d’amélioration continue du groupe, en accord avec les valeurs du groupe, stratégique et d’avenir si celui-ci veut présenter sa candidature devant un fonds d’investissement par exemple.

En conclusion, une cartographie non validée par la gouvernance est très vraisemblablement un exercice voué à l’échec. Un plan d’actions non suivi par le comité de direction produira un programme de conformité inutile.

Lorsqu’il est construit sur une analyse pertinente des risques et au-delà du seul impératif juridique, un engagement volontaire, proactif peut faire de ce programme de conformité un avantage compétitif, une valeur commerciale, mais aussi un vecteur d’innovation sur le plan des process opérationnels, des organisations, des outils ou du reporting.

Lorsque l’entreprise n’a pas été sanctionnée par une autorité française ou étrangère, c’est pour elle le moment où il est plus facile et stratégique de structurer et de « penser » son programme de conformité de la manière la plus efficace, homogène et en intégrant ses démarches dans l’amélioration continue et globale du groupe. Cette opportunité se fait de plus en plus rare, il ne tient qu’aux sociétés de se lancer aujourd’hui. »

15/06/2020

élargissement du domaine du risque, cyberisque-cybersécurité, GESTION DES RISQUES, identification des risques, RISQUES, télétravail

Télétravail et Risques

Laisser un commentaire

Je vous propose une analyse intéressante de Caroline Diard, Docteur en sciences de gestion de l’institut Mines-Télécom Business School et professeure associée en management des RH et Droit à l’EDC Paris Business School sur le télétravail vu sous l’angle du risque et de sa nécessaire gestion.

Vous y retrouverez décrite l’identification de ce risque / ses causes / ses conséquences de celui-ci et le cadre juridique qui l’accompagne et joue-jouera son rôle d’amplificateur.

Télétravail et harcèlement managérial : une situation dangereuse

Durant la pandémie de Covid-19, les entreprises ont eu massivement recours au télétravail. La distanciation du collectif au travail n’écarte pas le risque de harcèlement moral par le manager. Au titre de l’obligation générale de sécurité, l’employeur doit rester vigilant.

04/06/2020

Pendant le confinement, 95% des organisations ont eu recours au télétravail pour les collaborateurs éligibles (enquête flash ANDRH, avril 2020). Le télétravail a été imposé à un quart de la population active pendant la période de confinement. En Ile-de-France, 41% des salariés ont été concernés (sondage Odoxa du 9 avril 2020).

Il s’agit d’une forme de télétravail contraint, à temps plein. C’est une situation inédite qui a révélé l’agilité des entreprises et la capacité d’adaptation des salariés. A la sortie du confinement 64 % des salariés ont affirmé vouloir continuer à travailler à distance.

Même les secteurs habituellement moins ouverts au travail à distance vont poursuivre l’expérience. C’est le cas du constructeur automobile PSA.

Cet engouement pour le télétravail lié à un contexte d’urgence sanitaire ne doit pas cependant faire oublier les risques liés à cette forme d’organisation du travail.

La vigilance du manager est donc impérative pour éviter l’isolement, la porosité de la frontière vie privée-vie professionnelle, la surcharge de travail et l’hyper-connectivité.

L’employeur devra être particulièrement vigilant dans le cadre de son obligation générale de sécurité (articles L4121-1 et L4121-2 du Code du travail).

Le risque de harcèlement moral par le manager

Un des risques identifiables est celui lié à la pression inhabituelle exercée par les managers. La distanciation du collectif de travail peut contribuer à isoler le télétravailleur qui sera parfois dans l’incapacité de refuser les sollicitations répétées et insistantes du manager, des nouvelles tâches, une surcharge de travail.

Le harcèlement moral par le manager est donc un risque qui peut ne pas avoir été anticipé.

De nombreux contentieux pourraient naître. Une décision récente de la Cour de cassation nous interpelle à ce sujet. En effet, dans un arrêt du 19 février 2019 (n°18-83268), la chambre criminelle de la Cour de cassation a cassé une décision de relaxe du chef de harcèlement moral, en date du 25 janvier 2018 aux motifs que les juges du fond n’avaient pas répondu aux arguments de la salariée victime de ce harcèlement allégué, dont celui consistant à soutenir qu’elle « avait été isolée des autres salariés en raison de la demande de son employeur de travailler chez elle en télétravail, en contradiction avec sa fiche de poste ».

Si le salarié en télétravail est victime de l’un ou plusieurs des agissements constitutifs de harcèlement moral, il pourra saisir le Conseil de prud’hommes et invoquer une situation de harcèlement moral afin de se voir octroyer des dommages-intérêts en réparation du préjudice qu’il a subi.

Des dérives amplifiées par le télétravail

Le salarié en télétravail ne devra donc pas être volontairement isolé ou mis à l’écart, devra  toujours se voir fournir du travail, pouvoir être en lien avec sa hiérarchie, bénéficier du soutien nécessaire à l’accomplissement de ses missions, ne pas être surchargé et ne pas être incité à une hyper-connectivité. En effet, de telles conditions de travail pourraient laisser supposer une forme de harcèlement managérial. Le profil de certains managers peut conduire à des dérives.  Les pervers narcissiques auxquels dès 1998, Marie-France Hirigoyen faisait référence (« Le harcèlement moral. La violence perverse au quotidien ») pourraient user de manœuvre pour conserver leur pouvoir, leur poste et masquer ses incompétences pendant cette période de travail à distance. Le manager harceleur et pervers narcissique met en place des mécanismes divers :

  • culpabilisation,
  • critique et dévalorisation,
  • report de sa responsabilité sur ses collaborateurs,
  • communication floue,
  • changement fréquent d’opinions,
  • mensonges

En cas de télétravail, les possibilités de déviance sont amplifiées. L’impossibilité d’échanger en face à face, la distance avec les collègues et le n+2 pourraient contribuer au développement de pratiques perverse de management.

L’article L 1152-1 du Code du travail relatif au harcèlement, permet de se prémunir des pervers narcissiques puisqu’ « aucun salarié ne doit subir des agissements répétés de harcèlement moral qui ont pour objet ou pour effet une dégradation des conditions de travail susceptible de porter atteinte à ses droits et à sa dignité, d’altérer sa santé physique ou mentale ou de compromettre son avenir professionnel ».

À titre d’exemple, dans le cadre du télétravail contraint, on parlera de harcèlement si un manager déviant venait à dévaloriser un collaborateur devant ses collègues lors de réunions de groupe par visio-conférence. L’utilisation quasi exclusive comme outil de communication des mails peut conduire les managers à envoyer des messages dont le contenu pourrait être insistant, insultant ou dégradant pour un collaborateur. La fréquence des sollicitations peut aussi s’accélérer dans le cas du travail à distance. Le télétravail peut aussi conduire à des situations dans lesquelles un collaborateur est appelé par le manager en journée, le soir et le weekend, et ce afin de lui demander des livrables dans des délais non tenables.

Télétravail et santé

Plusieurs enquêtes révèlent que la santé psychologique des télétravailleurs s’est dégradée. L’étude de perception CSA pour Malakoff Humanis, montre que 30 % des télétravailleurs confinés estiment leur santé psychologique dégradée. Un sondage Opinionway montre quant à lui, que 44 % des collaborateurs sont anxieux et perçoivent une détresse psychologique.

Enfin, une enquête de la CGT sur les conditions de travail et d’exercice de la responsabilité professionnelle durant le confinement, en date du 4 mai 2020, révèle que 35 % des télétravailleurs se sont victime d’une anxiété inhabituelle.

Il convient donc d’attirer l’attention des employeurs qui n’auraient pas répondu aux obligations de sécurité et de protection des télétravailleurs en laissant s’installer une situation de harcèlement et qui engagent lourdement leur responsabilité, tant au plan civil que pénal (sanction pouvant aller jusqu’à deux ans d’emprisonnement et 30 000 euros d’amende). Une vigilance toute particulière devra être apportée aux comportements managériaux déviants.