Archives pour la catégorie RISQUES

assurances, élargissement du domaine du risque, cyberisque-cybersécurité, E.R.M, GESTION DES RISQUES, le métier: naissance et évolution, RISK MANAGER-FONCTION RISK MANAGER, RISQUES

ASSURANCES & RISQUES. MARCHE DES ASSURANCES. CYBERRISQUE et assurances.

6 commentaires

Mardi dernier (2 mars) nous avons analysé à travers deux articles le point de vue des entreprises d’assurances. Nous analysons aujourd’hui le marché de l’assurance et illustrons ses tensions à travers l’exemple du Cyberrisque.

Lecture complémentaire / assureurs-nouveaux risques-risque au cœur de la réflexion organisationnelle des entreprises Chapitre 1, p.29-46 : https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

Les prix s’enflamment dans l’assurance de risques industriels

Après quinze ans de calme plat, les prix sur le marché de l’assurance des risques industriels repartent à la hausse.

Après quinze ans de calme plat, le marché de l’assurance des risques industriels est en train de s’enflammer. Selon plusieurs acteurs, les prix connaissent depuis l’an dernier une remontée spectaculaire sur fond d’augmentation des coûts des sinistres, de baisse de capacités et de pression réglementaire.

« Depuis 2003, le marché de l’assurance industrielle était favorable au client, constate Laurent Belhout, directeur général de la filiale française du courtier américain AON. Mais depuis l’année dernière, il y a un tournant : on constate des hausses de plus de 10 % sur les risques industriels. »

L’assureur Zurich se prépare même à des hausses de prix de 20 à 40 % contre les risques d’interruption d’activités, d’incendie ou de cyberattaque. « La dernière fois que ce genre de marché a vraiment existé, c’était en 2002 », a déclaré mardi, à Bloomberg, James Shea, responsable de l’assurance commerciale chez Zurich.

Ce mouvement met fin à une période durant laquelle les primes d’assurance de grands risques avaient baissé de 40 %, après 2003. Une réaction elle-même liée à la flambée de 80 % qui avait eu lieu dans les deux ans après les attentats du 11 septembre 2001 . Mais aussi à la nouvelle donne du marché, marqué par une abondance d’offre.

« Surtout depuis la crise financière, une foultitude de capitaux sont venus financer l’assurance et la réassurance, créant des capacités supplémentaires et alimentant la compétition entre les acteurs », explique Brigitte Bouquot, présidente de l’Association pour le management des risques et des assurances de l’entreprise (AMRAE).

Mais ces derniers mois, les assureurs comme AXA XL ou Allianz ont changé d’attitude sous la pression de deux facteurs, explique-t-elle. Premièrement, les catastrophes naturelles, incendies et autres incidents , couplés à la judiciarisation des affaires (« class actions »…) ont renchéri le coût des dommages portés par les assureurs.

Deuxièmement, les nouvelles règles prudentielles de Solvabilité II ont obligé les assureurs à mettre plus de capital pour couvrir les risques au moment où ceux-ci se trouvent confrontés à l’interdépendance croissante de la mondialisation. Face à des scénarios systémiques sur lesquels ils n’ont pas forcément de données, ils sont plus frileux.

Thibaut Madelin. Janv. 2020.

Cyberrisque : la grande peur des assureurs

Le risque cyber est devenu la première menace des entreprises dans le monde, selon le baromètre Allianz. Les assureurs traînent des pieds pour couvrir ce nouveau risque systémique

Le risqu courtiers, selon le baromètre Allianz Global. (Photo Getty

Pour les dirigeants de Travelex, le premier réseau mondial de bureaux de change, le réveillon a dû être pénible. Le 31 décembre, des pirates ont injecté dans ses serveurs le virus informatique Sodinokibi et demandé une rançon ou menacé de publier des données privées de milliers de clients. Selon les médias, ils ont réclamé jusqu’à 6 millions de dollars. La société britannique dit avoir réussi à empêcher la propagation du virus, mais la révélation de l’attaque a fait chuter son cours de près de 17 % le 8 janvier.

Après l’attaque sur la banque américaine Capital One , qui s’est fait voler les données de 106 millions de clients l’été dernier, le cas Travelex illustre la montée des incidents cyber. Ceux-ci figurent pour la première fois en tête du baromètre annuel des risques qu’Allianz publie ce mardi (2700 experts du risque interrogés dans une centaine de pays). « Les incidents cyber et le changement climatique sont deux grands défis que les entreprises devront surveiller étroitement dans cette nouvelle décennie », annonce Joachim Müller, directeur général d’Allianz Global Corporate & Specialty (AGCS).

Mais alors que les risques cyber augmentent, les assureurs traînent des pieds. En France, Allianz constate ainsi une réduction des capacités disponibles par assureur et un début de hausse des primes. « C’est tout le paradoxe, regrette Léopold Larios de Piña, pilote de l’Observatoire des primes et assurances de l’AMRAE, l’Association pour le management des risques et des assurances de l’entreprise. Pendant dix ans, les assureurs ont voulu vendre des assurances cyber et au moment où les clients sont prêts à souscrire, ils commencent à voir les sinistres et excluent les risques à traiter. »

Des garanties en baisse

Selon l’association, alors que les assureurs étaient prêts à prendre un France un engagement de garanties de 25 à 30 millions auprès d’un client, ils ont limité leur engagement de moitié dans les derniers contrats. « Nous sommes passés d’une période où les assureurs se frottaient les mains face aux nouveaux risques à une période où ils sont plus frileux », déclare Brigitte Bouquot, présidente de l’AMRAE et administratrice des filiales d’assurance de Thales. S’il y a un choc, ce sont les entreprises qui devront le porter sur leur bilan. »

En 2017, Saint-Gobain a ainsi perdu 220 millions d’euros de chiffre d’affaires après la cyberattaque NotPetya. L’industriel n’était pas assuré contre ce risque précis et a revu depuis sa politique. Mais ceux qui l’étaient ont aussi gardé un goût amer. Attaqué par le même « ransomware » , le cabinet d’avocats américain DLA Piper a poursuivi son assureur, Hiscox, qui a refusé de payer le sinistre. Le géant de l’agroalimentaire Mondelez est lui aussi en litige avec son assureur, Zurich, qui refuse d’indemniser 100 millions de dollars de pertes et de dommages (se retranchant derrière le fait que l’attaque aurait été menée par un Etat, la Russie).

Or le risque ne cesse de croître. Selon IBM, une violation majeure de données, portant sur plus d’un million d’enregistrements compromis, coûte en moyenne 42 millions de dollars, soit 8 % de plus que l’année précédente. Les assureurs sont en train de prendre conscience de la dimension systémique du risque cyber. « C’est vraiment un risque global, plus encore que le nucléaire car, dans le cyber, la catastrophe est partout », témoigne le patron d’un grand groupe d’assurance.

Prévention

Du coup, les assureurs se trouvent au milieu du gué. « Le cyberrisque était largement garanti dans les contrats globaux de responsabilité civile (RC), indique Laurent Belhout, directeur général du courtier AON en France. Les assureurs vont l’exclure de la RC » et le traiter de façon autonome.

Dans l’immédiat, certains risques ne sont pas couverts car difficiles à qualifier. Par exemple : dans le cas d’une fraude sur paiement par carte dans l’avion, l’assureur pourrait le classer dans le risque aéronautique (si le paiement a lieu dans les airs) ou cyber (pour un paiement au sol), voire en responsabilité civile.

Ils mettent aussi l’accent sur la prévention. « L’assurance a un rôle vital à jouer pour aider les entreprises si toutes les autres mesures sont insuffisantes, mais ça ne doit pas remplacer la gestion stratégique du risque », insiste Marek Stanislawski, directeur mondial adjoint du risque cyber chez AGCS. De son côté, AXA XL va lancer avec Accenture un service de conseil aux entreprises sur la menace cyber. Pour Brigitte Bouquot, cela ne suffira pas. « Les assureurs doivent dire ce qu’ils veulent faire de ce nouveau risque », dit-elle.

Thibaut Madelin. Janv. 2020

activité du rm, assurances, E.R.M, GESTION DES RISQUES, place dans l'organisation, relation avec la dg, les opérationnels et les autres fonctions, RISK MANAGER-FONCTION RISK MANAGER, RISQUES, sanitaire-COVID 19

ASSURANCES & RISQUES. Marché des Assurances et point de vue des entreprises d’assurances.

Laisser un commentaire

En septembre 2019, j’écrivais sur ce blog (voir Archives du blog ou Moteur de recherche) : « La problématique Assurances et Cyber risques qui fait l’objet de nombreux articles dans la presse me fait penser aux difficultés rencontrées face à ce que l’on appelait les nouveaux risques (1990-2003).  D’un côté, les compagnies d’assurances étaient plus réticentes à prendre en charge les risques industriels et les nouveaux risques, notamment de réputation. De l’autre les grandes entreprises à l’égard des compagnies d’assurances préféraient gérer elles-mêmes leurs risques. Cette nouvelle logique de transfert du risque a été l’un des points d’ancrage historique de la gestion des risques.  Dans notre ouvrage sur la Fonction Risk Manager, Nicolas Dufour et moi-même reprenons les propos d’un Risk Manager qui me disait : « Il existe un trou énorme entre la protection incendie proposée par les compagnies d’assurances et ce dont nous avons besoin… Quand je suis arrivé dans l’entreprise (1994), je me suis aperçu que l’objectif est la sauvegarde de l’outil de production… La perte d’exploitation est énorme, jusqu’à X millions d’euros, on achète une assurance incendie. Au-delà on achète de quoi remettre la machine en route. »  https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

N’en est-il pas de même en mars 2021 ?

Le sujet est toujours d’actualité, devenu conflictuel voire douloureux pendant la crise de la Covid-19. Les articles du mois de mars seront consacrés à ce sujet.

  • Nous commencerons aujourd’hui par présenter le point de vue des entreprises d’assurances. Retour sur les fondamentaux : risque assurable, appétit au risque.
  • Nous l’illustrerons la semaine prochaine via l’exemple du Cyberrisque et analyserons le marché des assurances.
  • Nous proposerons dans la deuxième quinzaine de mars des conseils et pistes de solutions : quelles solutions pour faire face à cette situation ? La gestion des risques transversale et le Risk Manager sont au premier plan. 

Opinion. Pourquoi le risque pandémique n’est pas assurable

Une pandémie entraîne par nature un cumul potentiel des sinistres tel qu’ils ne sont tout simplement plus absorbables par les compagnies d’assurances, écrit Denis Kessler. L’évaluation du risque est en outre rendue impossible par la diversité des réactions des pouvoirs publics dans les différents pays.

«Les décisions administratives ou politiques de fermeture de certains établissements sont non modélisables (…) ce qui rend l’évaluation du risque impossible». (Sébastien Bozon/AFP)

La crise sanitaire a mis le sujet de l’assurance des pertes d’exploitation des entreprises en situation de pandémie sous le feu des projecteurs. Selon certains, les assureurs, en ne proposant pas de protection contre ce risque, feraient preuve de « mauvaise volonté ». Cette affirmation est ubuesque. C’est en assurant que les assureurs créent de la valeur ! Si le marché de l’assurance ne propose pas de telle protection, c’est pour des raisons de fond qui tiennent à la nature même du risque. De fait, les conséquences économiques d’une pandémie sont non assurables.

Premièrement, alors que l’une des conditions de l’assurabilité, qui repose sur la mutualisation des risques, est que tous les sinistres ne se produisent pas en même temps, le risque de pertes d’exploitation en cas de pandémie est sériel : quasiment tous les agents économiques sont touchés simultanément. Cela découle de la portée régionale et même souvent nationale des mesures prises par les pouvoirs publics – confinements, couvre-feux, fermetures administratives… – qui affectent des pans entiers de l’économie. Les assureurs n’ont pas la capacité d’absorber un tel cumul de sinistres. Ce caractère sériel est d’autant plus marqué que, le risque pandémique étant global, il ne connaît pas les frontières. La diversification géographique des portefeuilles de risques est inopérante et aggrave le cumul de sinistralité pour les (ré)assureurs globaux. L’exposition peut atteindre plusieurs points du PIB mondial.

Deuxièmement, le risque de pertes d’exploitation liées à une pandémie, plutôt que d’obéir à des « lois de la nature », est largement non modélisable et endogène. Il dépend très largement des mesures spécifiques mises en oeuvre par les pouvoirs publics pour enrayer la diffusion du virus. Les pertes d’exploitation subies par les entreprises sont principalement consécutives à ces mesures qui in fine ont limité ou arrêté l’activité. Or ces décisions administratives ou politiques sont non modélisables. Le fait que les mesures prises face à la pandémie de Covid-19 sont très différentes d’un pays à l’autre – alors que ces derniers sont confrontés à des situations similaires ! – en atteste. Cette incertitude radicale et irréductible rend l’évaluation du risque et le calcul de la prime d’assurance impossibles.

Antisélection et aléa moral

Troisièmement, la dernière raison de non-assurabilité de ce risque tient à de possibles phénomènes d’antisélection et d’aléa moral. L’antisélection est l’effet par lequel seuls les agents économiques les plus exposés s’assurent, ce qui réduit l’effet de mutualisation. En l’espèce, seules les entreprises des secteurs les plus touchés – hôtellerie, restauration, tourisme… – achèteraient une protection (sauf à ce qu’elle soit obligatoire, ce qui poserait des questions d’acceptabilité). Celles appartenant à un secteur épargné – par exemple l’e-commerce – n’auraient aucun intérêt à s’assurer. L’aléa moral est l’effet par lequel le risque est augmenté par une modification du comportement des agents économiques dès lors qu’une assurance joue le rôle de filet de protection. En l’espèce, la couverture du coût du confinement par des tiers (les assureurs) créerait un problème d’aléa moral manifeste au niveau des pouvoirs publics, qui n’assumeraient plus le coût économique des décisions qu’ils prennent alors même qu’ils décident des voies et moyens pour faire face à la crise sanitaire et qu’ils sont in fine responsables de sa gestion ! Une telle situation pourrait inciter les pouvoirs publics à mettre en oeuvre des mesures plus coûteuses économiquement…

Les garanties pertes d’exploitation figurant dans les contrats d’assurance sont dans la quasi-totalité des cas liées à des dommages matériels, par exemple en cas d’incendie. Les conditions d’assurabilité sont alors réunies : les sinistres ne se produisent pas tous en même temps, le risque est largement exogène et modélisable, l’antisélection et l’aléa moral sont contenus. Dans de rares cas, des contrats ont pu prévoir clairement la couverture des pertes d’exploitation en cas de pandémie. Pour ces contrats, qu’il n’y ait pas d’ambiguïté : il faut les honorer. Si les contrats sont imprécis ou ambigus, il faut que le juge ou le médiateur tranche.

Le risque de pertes économiques en situation de pandémie présente des caractéristiques similaires au risque de dommages aux biens en situation de guerre : cumul des expositions, limites à la diversification, caractère non modélisable, rôle des décisions politiques et aléa moral. Le risque de guerre n’est pas assurable, et cela fait longtemps que la quasi-totalité des contrats d’assurance comportent une clause indiquant que les dommages du fait d’actes de guerre ne sont pas couverts. C’est la même raison pour laquelle la quasi-totalité des contrats d’assurance ne couvrent pas les pertes d’exploitation en cas de pandémie. Dans les deux cas – guerre comme pandémie -, seul l’Etat peut prendre en charge les conséquences économiques d’une crise d’une telle ampleur, via des mécanismes de redistribution qui en étalent la charge sur l’ensemble des agents économiques, et même sur plusieurs générations. Il n’est donc pas surprenant qu’à ce jour aucun pays ne soit arrivé à mettre au point un mécanisme de prise en charge par l’assurance. Il ne s’agit pas de mauvaise volonté de la part des assureurs, mais d’impossibilité technique et économique.

Denis Kessler est PDG de SCOR.

Publié le 15 janv. 2021.

Assurances & Risques : quelques réflexions sur cette crise

D’abord, prenons bien conscience de l’épreuve vécue par beaucoup : deuils, peur de la maladie, peur de la crise économique, des personnes âgées quittant ce monde sans être entourées de leurs proches et pour les croyants sans secours spirituel.

C’est important car il y aurait de l’indécence à ne voir dans cette crise qu’une « formidable opportunité » (d’unité, de solidarité, …). Et pourtant, nous devons bien nous demander en même temps comment traverser cette crise et donner le meilleur de nous-mêmes aux autres en gardant espérance et bonne humeur dans la mesure du possible : osons citer Baden Powell : la bonne humeur est aussi contagieuse que la rougeole…

Alors que faisons-nous de ce moment et quels enseignements pour nos métiers des risques et de l’assurance ?

Faire face au risque, l’assumer

Ce scénario de pandémie était connu et il n’est pas certain que nous y étions suffisamment préparés…. Dans les métiers du risque d’entreprise, on vit les mêmes problèmes : souvent les catastrophes déroulent des scénarios pré-identifiés que l’on n’a pas voulu voir, ou qui ont fait les frais d’arbitrages budgétaires « court termiste ».

Valoriser l’expertise sans en être prisonnier 

Sur des sujets techniques comme la santé ou les risques d’entreprise tels qu’incendie, collision durant le transport…, l’expertise est indispensable. Mais à la fin c’est le décideur qui doit se faire une opinion en responsabilité, avec ses intuitions, ses valeurs. Alors que les scientifiques en recherche nucléaire ont expliqué par a + b au Général de Gaulle toutes les difficultés techniques empêchant d’avancer sur le programme, ce dernier s’est fait sa propre opinion pour finalement, « en s’y prenant autrement », parvenir à suivre son planning et non celui des experts. Primauté donc à la décision du leader en considérant le bien commun. Sur la crise sanitaire, nous avons vu toutes les discussions, les positions contradictoires des experts sur ce qu’il fallait faire ou ne pas faire en termes de prévention et de soins en santé. A la fin, c’est le leader qui doit trancher, idéalement en ayant filtré les informations, exercé son jugement et considérer le bien commun. Pour revenir aux risques d’entreprises classiques, réalisons-nous des cartographies de risques en étant davantage mus par la nécessité d’être conforme aux règles, de « cocher la case » au risque de rester seulement collés à l’expertise ? Ou bien, ne devons-nous pas chercher à utiliser les informations collectées pour des prises de décisions avec les leaders afin de vraiment créer de la valeur en évitant ou réduisant les risques au bénéfice des salariés et de l’environnement en général ?

Donner du sens

Les conséquences financières de cette pandémie pour les entreprises ont conduit à des attentes et des challenges forts vis-à-vis de l’assurance sur la prise en charge de la perte d’exploitation. Des leaders de l’assurance ont répondu en fournissant des explications avec des propositions pour l’avenir. Mais sur le fonds cela ne souligne-t-il pas une incompréhension toujours forte de ce métier essentiel qu’est l’assurance pour l’économie ? Je me souviens que lorsque j’étais étudiant à Sciences Po, l’assurance n’était abordée qu’en tant qu’Investisseur Institutionnel, sans aborder son fonctionnement.

Parvenir à une meilleure compréhension de l’assurance, de ses mécanismes et de son modèle ne passe-t-elle pas par s’interroger sur ses fondamentaux : par exemple, comment comprendre l’assurance si son périmètre dédié à l’assurance des entreprises reste structurellement déficitaire depuis des années ?

Alors que la matière première de l’assurance sont les données, comment accepter que toutes les données disponibles ne soient pas utilisées et valorisées avec tous les outils innovants comme l’Intelligence Artificielle, afin de permettre une meilleure connaissance des risques et de leurs coûts ?

Cette meilleure connaissance du risque et de son coût bénéficiera bien sûr aux assureurs dans la gestion de leurs propres engagements mais aussi à leurs clients entreprises. Au-delà des challenges liés à la crise sanitaire, l’assurance, ancrée sur ses fondamentaux, valorisant son expertise et tout son potentiel d’innovation peut accroître la valeur qu’elle apporte au service du bien commun (société, entreprises, personnes), en clarifiant son rôle et en générant davantage de confiance.

Laurent Barbagli

Publié le 21 avril 2020

activité du rm, élargissement du domaine du risque, E.R.M, GESTION DES RISQUES, place dans l'organisation, relation avec la dg, les opérationnels et les autres fonctions, RISK MANAGER-FONCTION RISK MANAGER, RISQUES

AMRAE – La sagesse du risque, pour une immunité collective – 3-4 février 2021. Ce qui se cache derrière ce titre. A lire et re (voir).

Laisser un commentaire

Merci à Cécile DESJARDINS de relayer mes propos dans son article « Management du Risques : le retour de l’humilité. » Les Echos, 3 février 2021.

2020 : année stratégique pour le Risk Management et le Risk Manager. Le RM a gagné en légitimité cognitive (Suchman, 1995). Elle est le « graal de la légitimité » : écoute encore plus attentive de la DG, accès renforcé aux opérationnels, une fonction plus visible. En montrant quel était son rôle, le RM a également gagné en légitimité personnelle : expérience, connaissance de son groupe, de son activité et des opérations, sens de la communication pour se faire entendre en toute liberté de la DG et des opérationnels (sensibiliser, faire prendre conscience des risques, alerter tout en sachant rassurer).

A lire : le dossier RISK MANAGEMENT 2021, Les Echos, 3 février 2021.

Le rendez-vous annuel des responsables des risques en entreprise ne s’est pas tenu à Deauville cette année. Face à une pandémie à rebonds, l’AMRAE (Association pour la Gestion des risques et des Assurances dans les Entreprises) a choisi une rencontre en ligne pour faire le point sur les grands enjeux de la profession, mise à l’épreuve par une crise mondiale sans précédent.

A (re)voir : les REPLAYS des tables rondes. Gratuitement – il suffit de s’inscrire) à cette adresse : https://lnkd.in/eEpjQSy

Exemples de thèmes abordés : Risques, climat et RSE ; Risques RH et associés ; Cyberrisque ; Gestion globale des risques ; Financement des risques par les assureurs intégrant le riskmanagement.

Ces thèmes, à l’exception du dernier, ont fait l’objet de nombreux articles dans ce blog (voir Archives ou moteur de recherche). Je décris pourtant la logique de transfert du risque des assureurs vers les entreprises comme le 3ème facteur ayant contribué à faire du risque, une variable stratégique de la réflexion des entreprises. Je l’aborderai dans les publications des semaines à venir sur le blog.

https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

approche socio-cognitive: rex, apprentissage, élargissement du domaine du risque, cyberisque-cybersécurité, dispositifs de contrôle et plans d'actions, GESTION DES RISQUES, réglementation et amplification du risque, rgpd, RISQUES

RGPD. BEST-PRACTICES ET PLANS D’ACTIONS

6 commentaires
Le mois de janvier est consacré au RGDP, que j’appelle dans mes travaux un amplificateur de risques (p.47, chapitre 1) / https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html
Après le rappel du contexte réglementaire, les 1eréléments de bilan 2020 et les sanctions (Carrefour et Carrefour Banque, Google, H&M) je vous propose, à partir d’éléments communiqués par l’entreprise toulousaine I-Trust (Editeur de solutions de Cybersécurité), une synthèse de best practices issues des règles de l’ANSSI et des recommandations de la CNIL. Autant de best pratices à suivre et de plans d’actions à mettre en œuvre.

Les règles de conformité RGPD imposent aux entreprises de se sécuriser selon les meilleures pratiques issues des :

Les règles d’hygiènes et bonnes pratiques de l’ANSSI

# 4 : Identifier les informations et serveurs les plus sensibles et maintenir un schéma du réseau.

Maintenir la cartographie du SI et des informations sensibles via les tags RGPD.

# 5 : Disposer d’un inventaire des comptes privilégiés et les maintenir à jour.

Identifier les comptes privilégiés et de vérifier en continu leur mise à jour. 

# 7 : Autoriser la connexion au réseau de l’entité aux seuls équipements maîtrisés.

Détecter la connexion d’appareils étrangers au SI.

#8 : Identifier nommément chaque personne accédant au système et distinguer les rôles utilisateur/administrateur. Journalisation activée.

Détecter les comportements malveillants sur les opérations de comptes et les partages réseaux. 

Détecter les bruits de force de compte. 

# 10 : Définir et vérifier des règles de choix et de dimensionnement des mots de passe.

Détecter des mots de passe triviaux actifs sur le réseau.

# 12 : Changer les éléments d’authentification par défaut sur les équipements et services.

Détecter les mots de passe par défaut sur les équipements et services.

# 14 : Mettre en place un niveau de sécurité minimal sur l’ensemble du parc informatique. Cette règle concerne essentiellement des points de configuration (chiffrement disque, désactivation autorun, etc.).

# 18 : Chiffrer les données sensibles transmises par voie Internet.

Détecter la présence de services d’échange ou d’interface de connexion non sécurisés.

# 20 : S’assurer de la sécurité des réseaux d’accès Wi-Fi et de la séparation des usages.

Scanner la sécurité des équipements impliqués dans le WiFi (bornes, routeur, etc.)

#21 : Utiliser des protocoles réseaux sécurisés dès qu’ils existent.

Détecter les services en écoute qui ne garantissent pas la sécurité des transmissions.

# 22 : Mettre en place une passerelle d’accès sécurisé à Internet.

Scanner la sécurité de cette passerelle.

#34 : Définir une politique de mise à jour des composants du système d’information.

Détecter les problèmes d’obsolescence des composants.

#36 : Activer et configurer les journaux des composants les plus importants.

Effectuer une étude contextuelle du SI. Journaliser les éléments suivants : > pare-feu : paquets bloqués ; > systèmes et applications : authentifications et autorisations (échecs et succès), arrêts inopinés ; > services : erreurs de protocoles (par exemples les erreurs 403, 404 et 500 pour les services HTTP), traçabilité des flux applicatifs aux interconnexions (URL sur un relai HTTP, en-têtes des messages sur un relai SMTP, etc.). Pour se faire un centre opérationnel de sécurité doit être installé. 

#38 : Procéder à des contrôles et audits de sécurité régulier puis appliquer les actions correctives associées.

Auditer le réseau en continu et éliminer les vulnérabilités évidentes pour que les auditeurs puissent se concentrer sur les failles cachées.

Procéder à des contrôles et audits de sécurité réguliers pour appliquer les actions correctives associées. 

# 40 : Définir une procédure de gestion des incidents.

Surveiller en continu toute intrusion ou malveillance présente sur le SI.

# 42 : Privilégier l’usage de produits et de services qualifiés par l’ANSSI.

Obtenir la certification CSPN.

Les règles de la CNIL. Les fiches CNIL sur la sécurité des données personnelles. 

#Fiche 1 : Sensibiliser les utilisateurs

Formation au RGPD pour faire le point sur les nouvelles règles et connaître les outils qui sont obligatoires depuis mai 2018, afin de lancer la mise en conformité au plus tôt dans votre organisme.

Cette formation est adressée aux CIL/DPO/DSI/RSSI/Responsable qualité et conformité.

#Fiche 2 : Authentifier les utilisateurs.

Cartographie de l’ensemble du SI permettant de détecter la connexion d’appareils étrangers au SI. Il permet de détecter les protocoles d’accès et d’authentification (ssh/smtp/FTP/…)

#Fiche 3 : Gérer les habilitations.

#Fiche 4 : Tracer les accès et gérer les incidents.

#Fiche 5 : Sécuriser les postes de travail. 

#Fiche 6 : Sécuriser l’informatique mobile. 

#Fiche 7 : Protéger le réseau informatique interne.

#Fiche 8 : Sécuriser les serveurs.

#Fiche 9 : Sécuriser les sites web.

Cartographie de l’ensemble du réseau. Note de criticité et correctifs associés. Identification des vulnérabilités et logiciels non mis à jour de la plupart des périphériques et applications, y compris les firewalls, les serveurs, les systèmes d’exploitation de bureau, les imprimantes, les appareils sans fil, ainsi que de nombreux autres éléments.

approche socio-cognitive: rex, apprentissage, élargissement du domaine du risque, cyberisque-cybersécurité, dispositifs de contrôle et plans d'actions, GESTION DES RISQUES, réglementation et amplification du risque, rgpd, RISQUES, sanctions

RGPD. SANCTIONS. CARREFOUR. GOOGLE. H&m.

Laisser un commentaire

Le mois de janvier est consacré au RGDP, que j’appelle dans mes travaux un amplificateur de risques (p.47, chapitre 1) / https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

Au programme :

  • article / sanctions Carrefour France (2,25 millions euros) et Carrefour Banque (800 000 euros) / avec les délibérations et pour approfondir les références aux articles de la CNIL
  • article / sanctions Google LLC (60 millions d’euros) et Google Ireland Limited (40 millions d’euros)
  • article sanctions H&M (35 millions d’euros)

Sanctions de 2 250 000 euros et de 800 000 euros pour les sociétés CARREFOUR FRANCE et CARREFOUR BANQUE

26 novembre 2020

Saisie de plusieurs plaintes, la CNIL a sanctionné deux sociétés du groupe CARREFOUR pour des manquements au RGPD concernant notamment l’information délivrée aux personnes et le respect de leurs droits.

Saisie de plusieurs plaintes à l’encontre du groupe CARREFOUR, la CNIL a effectué des contrôles entre mai et juillet 2019 auprès des sociétés CARREFOUR FRANCE (secteur de la grande distribution) et CARREFOUR BANQUE (secteur bancaire). À cette occasion, la CNIL a constaté des manquements concernant le traitement des données des clients et des utilisateurs potentiels. La Présidente de la CNIL a donc décidé d’engager une procédure de sanction à l’encontre de ces sociétés.

À l’issue de cette procédure, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a effectivement considéré que les sociétés avaient manqué à plusieurs obligations prévues par le RGPD.

Elle a ainsi sanctionné la société CARREFOUR FRANCE d’une amende de 2 250 000 euros et la société CARREFOUR BANQUE d’une amende de 800 000 euros. En revanche, elle n’a pas prononcé d’injonction dès lors qu’elle a constaté que des efforts importants avaient permis la mise en conformité sur tous les manquements relevés.

Des manquements à l’obligation d’informer les personnes (article 13 du RGPD)

L’information fournie aux utilisateurs des sites carrefour.fr et carrefour-banque.fr comme aux personnes désirant adhérer au programme de fidélité ou à la carte Pass n’était pas facilement accessible (accès à l’information trop compliqué, dans des documents très longs contenant d’autres informations), ni facilement compréhensible (information rédigée en des termes généraux et imprécis, utilisant parfois des formulations inutilement compliquées). De plus, elle était incomplète en ce qui concerne la durée de conservation des données.

Concernant le site carrefour.fr, l’information était également insuffisante en ce qui concerne les transferts de données hors de l’Union européenne et la base légale des traitements (fichiers).

Sur ce point, les sociétés ont modifié leurs mentions d’information et sites web durant la procédure pour se mettre en conformité.

Des manquements relatifs aux cookies (article 82 de la loi Informatique et Libertés)

La CNIL a constaté que, lorsqu’un utilisateur se connectait au site carrefour.fr ou au site carrefour-banque.fr, plusieurs cookies étaient automatiquement déposés sur son terminal, avant toute action de sa part. Plusieurs de ces cookies servant à la publicité, le consentement de l’utilisateur aurait pourtant dû être recueilli avant le dépôt.

Les sociétés ont modifié, durant la procédure, le fonctionnement de leurs sites web. Plus aucun cookie publicitaire n’est désormais déposé avant que l’utilisateur n’ait donné son accord.

Un manquement à l’obligation de limiter la durée de conservation des données (article 5.1.e du RGPD)

La société CARREFOUR FRANCE ne respectait pas les durées de conservation des données qu’elle avait fixées. Les données de plus de vingt-huit millions de clients inactifs depuis cinq à dix ans étaient ainsi conservées dans le cadre du programme de fidélité. Il en était de même pour 750 000 utilisateurs du site carrefour.fr inactifs depuis cinq à dix ans.

Par ailleurs, en l’espèce, la formation restreinte considère qu’une durée de conservation de 4 ans des données clients après leur dernier achat est excessive. En effet, cette durée, initialement retenue par la société, excède ce qui apparaît nécessaire dans le domaine de la grande distribution, compte tenu des habitudes de consommation des clients qui font principalement des achats réguliers. 

Pendant la procédure, la société CARREFOUR FRANCE a engagé d’importants moyens pour procéder aux modifications nécessaires à sa mise en conformité avec le RGPD. Toutes les données trop anciennes ont notamment été supprimées.

Un manquement à l’obligation de faciliter l’exercice des droits (article 12 du RGPD)

La société CARREFOUR FRANCE exigeait, sauf pour l’opposition à la prospection commerciale, un justificatif d’identité pour toute demande d’exercice de droit. Cette demande systématique n’était pas justifiée dès lors qu’il n’existait pas de doute sur l’identité des personnes exerçant leurs droits. Par ailleurs, la société n’a pas été en mesure de traiter dans les délais exigés par le RGPD plusieurs demandes d’exercice de droits.

Sur ces deux points, la société a modifié ses pratiques durant la procédure. Elle a notamment déployé d’importants moyens humains et organisationnels pour répondre à l’ensemble des demandes reçues dans un délai inférieur à un mois.

Un manquement au respect des droits (articles 15, 17 et 21 du RGPD et L34-5 du Code des postes et des communications électroniques)

Tout d’abord, la société CARREFOUR FRANCE n’a pas donné suite à plusieurs demandes de personnes souhaitant accéder à leurs données personnelles. La société s’est rapprochée de toutes les personnes concernées durant la procédure.

Ensuite, dans plusieurs cas, la société n’a pas procédé à l’effacement de données demandé par plusieurs personnes alors qu’elle aurait dû le faire. Sur ce point également, la société a fait droit à toutes les demandes durant la procédure.

Enfin, la société n’a pas pris en compte plusieurs demandes de personnes s’étant opposées à recevoir de la publicité par SMS ou courrier électronique, notamment en raison d’erreurs techniques ponctuelles. La société s’est mise en conformité durant la procédure sur ce point également.

Un manquement à l’obligation de traiter les données de manière loyale (article 5 du RGPD)

Lorsqu’une personne souscrivant à la carte Pass (carte de crédit pouvant être rattachée au compte fidélité) souhaitait également adhérer au programme de fidélité, elle devait cocher une case indiquant qu’elle acceptait que CARREFOUR BANQUE communique à « Carrefour fidélité » son nom, son prénom et son adresse de courrier électronique. CARREFOUR BANQUE indiquait explicitement qu’aucune autre donnée n’était transmise. La CNIL a pourtant constaté que d’autres données étaient transmises, comme l’adresse postale, le numéro de téléphone et le nombre de ses enfants, bien que la société se fût engagée à ne transmettre aucune autre donnée.

Sur ce point, la société a modifié ses pratiques durant la procédure. Elle a entièrement refondu son parcours de souscription en ligne à la carte Pass et les personnes sont désormais informées de l’ensemble des données transmises à la société CARREFOUR FRANCE.

Les délibérations

> Délibération de la formation restreinte n° SAN-2020-008 du 18 novembre 2020 concernant la société CARREFOUR FRANCE 

> Délibération de la formation restreinte n° SAN-2020-009 du 18 novembre 2020 concernant la société CARREFOUR BANQUE 

Pour approfondir

> La procédure de sanction

Les textes de référence

> Article 5 du règlement général sur la protection des données (principes relatifs au traitement des données personnelles) 

> Article 5.1.e du RGPD (conservation des données) 

> Article 12 du RGPD (transparence des informations et des communications et modalités de l’exercice des droits de la personne concernée) 

> Article 13 du RGPD (informations à fournir lorsque des données personnelles sont collectées auprès de la personne concernée) 

> Article 15 du RGPD (droits de la personne concernée) 

> Article 17 du RGPD (droit à l’effacement ou droit à l’oubli) 

> Article 21 du RGPD (droit d’opposition) 

> Article 82 de la loi Informatique et Libertés (droits et obligations propres aux traitements dans le secteur des communications électroniques) 

> Article L34-5 du Code des postes et des communications électroniques 

Cookies : sanction de 60 millions d’euros à l’encontre de GOOGLE LLC et de 40 millions d’euros à l’encontre de GOOGLE IRELAND LIMITED

10 décembre 2020

Le 7 décembre 2020, la formation restreinte de la CNIL a sanctionné les sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED d’un montant total de 100 millions d’euros d’amende, notamment pour avoir déposé des cookies publicitaires sur les ordinateurs d’utilisateurs du moteur de recherche google.fr sans consentement préalable ni information satisfaisante.

Le 16 mars 2020, la CNIL a effectué un contrôle en ligne sur le site web google.fr qui a permis de constater que lorsqu’un utilisateur se rendait sur ce site, des cookies étaient automatiquement déposés sur son ordinateur, sans action de sa part. Plusieurs de ces cookies poursuivaient un objectif publicitaire.

Les manquements à la loi Informatique et Libertés

La formation restreinte, organe de la CNIL chargé de prononcer les sanctions, a relevé trois violations à l’article 82 de la loi Informatique et Libertés :

Un dépôt de cookies sans recueil préalable du consentement de l’utilisateur

Lorsqu’un utilisateur se rendait sur la page google.fr, plusieurs cookies poursuivant une finalité publicitaire étaient automatiquement déposés sur son ordinateur sans action de sa part.

Ce type de cookies ne pouvant être déposé sans que l’utilisateur ait exprimé son consentement, la formation restreinte a considéré que les sociétés n’avaient pas respecté l’exigence prévue par l’article 82 de la loi Informatique et Libertés de recueil préalable du consentement avant le dépôt de cookies non essentiels au service.

Un défaut d’information des utilisateurs du moteur de recherche google.fr

Lorsqu’un utilisateur se rendait sur la page google.fr, un bandeau d’information s’affichait en pied de page, portant la mention suivante « Rappel concernant les règles de confidentialité de Google » en face de laquelle figuraient deux boutons intitulés « Me le rappeler plus tard » et « Consulter maintenant ».

Ce bandeau ne fournissait à l’utilisateur aucune information relative aux cookies qui avaient pourtant déjà été déposés sur son ordinateur, dès son arrivée sur le site. Cette information ne lui était pas non plus fournie lorsqu’il cliquait sur le bouton « Consulter maintenant ».

La formation restreinte a donc estimé que l’information fournie par les sociétés ne permettait pas aux utilisateurs résidant en France d’être préalablement et clairement renseignés quant au dépôt de cookies sur leur ordinateur ni, par conséquent, des objectifs de ces cookies et des moyens mis à leur disposition quant à la possibilité de les refuser.

La défaillance partielle du mécanisme « d’opposition »

Lorsqu’un utilisateur désactivait la personnalisation des annonces sur la recherche Google en recourant au mécanisme mis à sa disposition à partir du bouton « Consulter maintenant », un des cookies publicitaires demeurait stocké sur son ordinateur et continuait de lire des informations à destination du serveur auquel il est rattaché.

La formation restreinte a donc estimé que le mécanisme « d’opposition » mis en place par les sociétés était partiellement défaillant, en violation de l’article 82 de la loi Informatique et Libertés.

La sanction prononcée par la formation restreinte

La formation restreinte a sanctionné la société GOOGLE LLC d’une amende de 60 millions d’euros et la société GOOGLE IRELAND LIMITED d’une amende de 40 millions d’euros, rendues publiques.

La formation restreinte a justifié ces montants au regard de la gravité du triple manquement précité à l’article 82 de la loi Informatique et Libertés.

Elle a également souligné la portée du moteur de recherche Google Search en France et le fait que les pratiques des sociétés ont affecté près de cinquante millions d’utilisateurs.

Enfin, elle a relevé les bénéfices considérables que les sociétés tirent des revenus publicitaires indirectement générés à partir des données collectées par ces cookies publicitaires.

La formation restreinte a pris acte que, depuis une mise à jour de septembre 2020, les sociétés cessent de déposer automatiquement les cookies publicitaires dès l’arrivée de l’utilisateur sur la page google.fr.

Elle a néanmoins relevé que le nouveau bandeau d’information mis en œuvre par les sociétés lors de l’arrivée sur la page google.fr ne permettait toujours pas aux utilisateurs résidant en France de comprendre les finalités pour lesquelles les cookies sont utilisés et ne les informait pas du fait qu’ils pouvaient refuser ces cookies.

Dès lors, en complément des amendes administratives, la formation restreinte a également adopté une injonction sous astreinte afin que les sociétés procèdent à une information des personnes conforme à l’article 82 de la loi Informatique et Libertés dans un délai de 3 mois à compter de la notification. Dans le cas contraire, les sociétés s’exposeront au paiement d’une astreinte de 100 000 euros par jour de retard.

Une compétence de la CNIL 

Dans sa délibération, la formation restreinte a rappelé que la CNIL est matériellement compétente pour contrôler et sanctionner les cookies déposés par les sociétés sur les ordinateurs des utilisateurs résidant en France. Elle a souligné ainsi que le mécanisme de coopération prévu par le RGPD (mécanisme de « guichet unique ») n’avait pas vocation à s’appliquer dans cette procédure étant donné que les opérations liées à l’utilisation des cookies relèvent de la directive « ePrivacy », transposée à l’article 82 de la loi Informatique et Libertés.

Elle a considéré qu’elle est également territorialement compétente en application de l’article 3 de la loi Informatique et Libertés car le recours à des cookies est effectué dans le « cadre des activités » de la société GOOGLE FRANCE qui constitue « l’établissement » sur le territoire français des sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED et y assure la promotion de leurs produits et services.

Elle a également estimé que les sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED sont conjointement responsables dès lors qu’elles déterminent toutes les deux les finalités et les moyens liés à l’usage des cookies.

L’articulation de la sanction avec les travaux de la CNIL sur les cookies

Dans le cadre de son plan d’action sur le ciblage publicitaire et pour tenir compte de l’entrée en application du RGPD, la CNIL a publié le 1er octobre 2020 ses lignes directrices modificatives ainsi qu’une recommandation portant sur l’usage de cookies et autres traceurs. La CNIL a demandé aux acteurs de se conformer aux règles ainsi clarifiées, en estimant que cette période d’adaptation ne devrait pas dépasser six mois.

À cette occasion, elle a néanmoins précisé qu’elle continuerait notamment à contrôler pleinement le respect des autres obligations qui n’ont fait l’objet d’aucune modification et le cas échéant, d’adopter des mesures correctrices pour protéger la vie privée des internautes.

Les obligations dont la CNIL sanctionne aujourd’hui le non-respect par les sociétés préexistaient au RGPD et ne font donc pas partie de celles qui ont été clarifiées par les nouvelles lignes directrices et la recommandation du 1er octobre 2020.

Note : La société GOOGLE LLC, établie en Californie, développe le moteur de recherche Google Search. La société GOOGLE IRELAND LIMITED, dont le siège est en Irlande, se présente comme le siège européen du groupe Google. La société GOOGLE FRANCE est l’établissement en France de la société GOOGLE LLC.

Une amende de 35 millions d’euros pour H&M qui a stocké les données personnelles des salariés

Ces faits ont été dévoilés en octobre 2019, lorsqu’une erreur informatique les a rendus accessibles, pendant quelques heures, à l’ensemble de l’entreprise.     

Une amende de plus de 35 millions d’euros a été prononcée contre l’enseigne H&M en Allemagne jeudi. Le groupe a été condamné pour avoir rassemblé et stocké des informations sur une centaine de salariés.

L’Allemagne a infligé jeudi une amende sans précédent de 35,3 millions d’euros au groupe de prêt-à-porter H&M, pour avoir enregistré des données privées de certains salariés à leur insu, a annoncé le centre de protection des données du pays jeudi.

« Large connaissance » de la vie privée des employés

« Une amende de 35 258 707,95 euros est requise contre H&M (…) pour une affaire de surveillance de plusieurs centaines de ses collaborateurs », a indiqué le Commissariat à la protection des données de Hambourg. Il s’agit du montant le plus important infligé par l’Allemagne à une entreprise au nom de la législation européenne sur la protection des données privées (RGPD), depuis son entrée en vigueur en 2018, a indiqué une porte-parole de l’institution.

Les autorités reprochent au groupe de prêt-à-porter d’avoir laissé des responsables d’un site H&M, à Nuremberg (sud), rassembler et stocker des informations sur leurs salariés, entre 2014 et 2019. « Certains de ces supérieurs ont acquis une large connaissance de la vie privée de leurs employés », a constaté le centre de protection.

Une erreur informatique

Après l’absence d’un collaborateur, les responsables du site organisaient systématiquement un entretien, traitant « des vacances », ou des « symptômes et diagnostics » du salarié, en cas de congés maladie. Ces informations étaient ensuite « enregistrées », stockées numériquement, et servaient à « établir des profils individuels ».

H&M insiste sur l’aspect « local » de ces pratiques

Les supérieurs obtenaient également des éléments de vie privée de leurs collaborateurs lors de discussions informelles, notamment sur des « problèmes familiaux », ou des « croyances religieuses ». Ces données étaient ensuite « disponibles à la lecture pour jusqu’à 50 responsables du groupe ».

Réagissant à la décision des autorités allemandes, la marque de prêt-à-porter a présenté ses excuses pour des faits qu’elle estime « non conformes aux directives et instructions » du groupe. H&M insiste sur l’aspect « local » de ces pratiques, et affirme avoir « signalé immédiatement les faits » aux autorités, après en avoir pris connaissance.

Ces faits ont été dévoilés en octobre 2019, lorsqu’une erreur informatique les a rendus accessibles, pendant quelques heures, à l’ensemble de l’entreprise. 

L’Europe veut protéger la vie privée

Le Règlement européen de protection des données a renforcé les obligations des entreprises en termes de protection de la vie privée. Il prévoit des amendes pouvant aller jusqu’à 4% de leur chiffre d’affaires.

En 2019, l’Allemagne a déjà condamné le groupe immobilier Deutsche Wohnen à une amende de 14,5 millions d’euros pour avoir archivé des données sensibles de ses locataires. La France a de son côté infligé une sanction de 50 millions d’euros au géant de l’informatique Google, pour défaut d’information de ses utilisateurs de leurs données personnelles. L’amende la plus élevée a été infligée par le Royaume-Uni à la compagnie aérienne British Airways, qui a écopé en 2019 d’une sanction de 183 millions de livres (200 millions d’euros), pour un vol des données financières de centaines de milliers de ses clients.

élargissement du domaine du risque, cyberisque-cybersécurité, dispositifs de contrôle et plans d'actions, GESTION DES RISQUES, réglementation et amplification du risque, rgpd, RISQUES

RGPD. RAPPEL. BILAN 2020. QUELS PLANS D’ACTIONS ?

Laisser un commentaire
Je vous souhaite à tous une Excellente Année 2021 : respiration, aération, inspiration…
Le mois de janvier du blog sera consacré au RGDP, que j’appelle dans mes travaux un amplificateur de risques (p.47, chapitre 1) / https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html
Nous avons déjà abordé le sujet en 2019 et 2020. Vous pouvez relire en avril 2019 « RGPD, les sanctions tombent » et en avril 2020 « Le contexte réglementaire qui accentue l’intérêt des entreprises pour les risques liés au télétravail, à savoir le RGPD…» A retrouver dans les archives tout en bas du menu déroulant en bas à gauche.
Aujourd’hui, 11 janvier 2021. Rappel du contexte réglementaire : le RGPD. 1er éléments de bilan 2020 à partir de deux articles :
  • « Pourquoi le RGPD n’a (presque) rien changé pour les internautes » et constat d’un relatif échec
  • Quelques chiffres sur le montant des sanctions en Europe

Au programme. Le 18 janvier 2021

  • article / sanctions H&M
  • article / sanctions Google
  • article / sanctions Carrefour / avec les délibérations et pour approfondir les références aux articles de la CNIL

Au programme. Le 25 janvier 2021

  • Règles de l’ANSSI et de la CNIL à suivre / Quels Plans d’Actions ? (source : I-Trust)

Rappel du contexte réglementaire : le RGPD.

General Data Protection Regulation (GDPR) ou Réglement Général pour la Protection de données (RGPD)

Date : entrée en vigueur le 26 mai 2016 ; applicable à partir du 25 mai 2018.

Dispositif : le nouveau règlement européen modifie le cadre juridique relatif à la protection des données à caractère personnel au sein de l’Union européenne. Les entreprises devront déclarer aux autorités de leur pays (et dans certains cas aux personnes concernées) les violations de données à caractère personnel sous 72 heures en suivant les dispositions spécifiques du GDPR  et en conservant un registre de violation.

Champ d’application : toutes les entreprises qui collectent, traitent, et stockent des données à caractère personnel.

Sanctions : action judiciaire des individus pour réclamer des dommages et intérêts ; actions de groupe ; amende administrative jusqu’à 20 millions d’euros ou 4% du Chiffre d’Affaires mondial.

Il s’attarde sur les risques de notre époque post-moderne (violation de données, perte des données, traitement illicite de données…).

Pour en savoir plus : « Règlement Général pour la Protection des Données. Comment l’entreprise doit-elle protéger les données personnelles ?, Cahier technique de l’AMRAE, juillet 2018.

Quelques Chiffres

En 2020, le montant des amendes pour non-respect du RGPD s’élève à 171 millions d’euros. C’est l’Italie qui a infligé le plus de sanctions, avec 34 infractions constatées, soit un montant correspondant à 58,16 millions d’amendes.

Le nombre d’affaires croissant porté devant les autorités de protection des données personnelles devrait toutefois mener à une hausse du montant total de sanctions dans les années à venir, notamment après l’invalidation du Privacy Shield par la Cour de Justice européenne (CJUE).
En 2020, le montant des amendes pour non-respect du RGPD s’est élevé à 171 millions d’euros

C’est l’Italie qui a infligé le plus de sanctions.

Le classement des pays qui ont infligé le plus d’amendes au titre du règlement général sur la protection des données vient de sortir. Selon Finbold, le montant total des sanctions s’élève cette année à 171,3 millions d’euros. C’est l’Italie qui arrive en tête du classement avec 34 infractions constatées pour ses entreprises et un total de 58,16 millions d’euros d’amendes infligées.

L’étonnante dernière position de l’Irlande

En mai 2018, après plusieurs années de réflexion et de travail, le RGPD voyait le jour. Ce règlement européen précède à la directive 95/46/CE instaurée en 1995 par le Parlement Européen. Un véritable chantier juridique qui semble désormais porter ses fruits. En effet, si entre mai 2018 (date d’entrée en vigueur du texte) et janvier 2020, seulement 114 millions d’euros d’amendes avaient été comptabilisés, entre janvier 2020 et décembre 2020, le montant total des sanctions est plus élevé. Il atteint précisément 171,3 millions d’euros.

Il est intéressant de s’arrêter sur le classement des pays. Premier constat étonnant : l’Irlande est en dernière position dans ce classement des pays qui ont infligé le plus d’amendes au titre du RGPD. Seulement 630 000 euros d’amendes. Ce pays est pourtant le centre névralgique de la protection des données. C’est là que Google, Facebook, LinkedIn, Microsoft, Airbnb, Hubspot, Stripe, Smartbox, Dropbox, Slack, Salesforce ou encore IBM ont leur siège social… Des entreprises susceptibles de ne pas respecter le règlement général sur la protection des données.

La France inflige 3 millions d’euros d’amendes

En première position de ce classement, nous retrouvons l’Italie. La Garante per la protezione dei dati personali, l’équivalent de la Cnil en Italie, a délivré un total de 58,16 millions d’euros d’amendes. Parmi les entreprises concernées, nous retrouvons Eni Gas et Luce, un fournisseur italien d’électricité et de gaz. L’entreprise a dû s’acquitter d’une grosse amende de 11,5 millions d’euros. Le Royaume-Uni se classe en deuxième position avec 49,3 millions d’euros d’amendes. On se souvient notamment de l’amende prononcée à l’encontre de British Airways.

L’Allemagne est troisième avec 37,39 millions d’euros d’amendes. Ensuite nous retrouvons la Suède, l’Espagne et la France en sixième position avec seulement 3 millions d’euros d’amendes. L’amende la plus importante est celle dont Carrefour Banque a dû s’acquitter en fin d’année. En 2021, l’invalidation du Privacy Shield par la Cour de justice européenne (CJUE) devrait représenter un véritable défi pour les autorités de protection des données. 5 300 entreprises sont concernées et cela rebat totalement les cartes des flux de données. Enfin, notons que malgré le Brexit, le RGPD reste applicable jusqu’en juillet 2021.

Par Valentin Cimino 

 

approche socio-cognitive: rex, apprentissage, contrôle, GESTION DES RISQUES, les "affaires", normes

TOUT SAVOIR SUR LA GESTION DES RISQUES ET LE RISK MANAGER EN FRANCE. UNE LECTURE DE Noel : « LA FONCTION RISK MANAGER : ORGANISATION, MÉTHODES ET POSITIONNEMENT » !  

Laisser un commentaire

Merci d’avoir suivi mon blog.

A la rentrée : retour sur le rôle du législateur-régulateur comme amplificateur de risques avec les premières sanctions pour infraction au RGPD, point sur le marché des assurances, le rôle des captives…

Je terminerai l’année civile sur ce conseil de lecture. Ce sera le dernier post avant 2021.

Lien vers l’ouvrage : https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

élargissement du domaine du risque, éthique-gouvernance, médias et amplification du risque, réputation-image, RISQUES

Risque de Reputation : Quelles Evolutions ? Médias, E-REPUTATION, ETHIQUE

Laisser un commentaire

Risque de Réputation. Définition

Dans notre ouvrage « La Fonction Risk Manager. Organisation, Méthodes et Positionnement », Editions Gereso, 2019, Nicolas Dufour et moi-même reprenons la définition de Rayner (2003) : « toute action, évènement ou circonstance qui pourrait avoir un impact positif ou négatif sur la réputation d’un organisme…ou encore… comme un ensemble de perceptions et opinions présentes ou passées sur un organisme, nichées dans la conscience des parties prenantes. » p.35

https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

Voir blog janvier 2020 / « What Price Reputation ? Impact d’une dégradation de l’image sur la valorisation boursière. »

Voir blog septembre 2020 / « Risque de réputation. Définition, illustration à travers les affaires Nike 1990-2000, 2020. »

Risque de Réputation. Les médias comme amplificateur de risque.

Nous présentons les médias comme un des deux amplificateurs du risque qui a contribué à mettre en place l’image d’un monde plus risqué : « les médias tendent à amplifier la notion de responsabilité du dirigeant en cas de négligence et les logiques de compensation…Ces évolutions rendent les entreprises plus vulnérables et le risque est partout mais ce qu’elles craignent le plus, c’est la perte de réputation. » p.58.

Risque de Réputation. Evolutions : e-réputation ; éthique

Les entreprises doivent de plus en plus compter avec la viralité des réseaux sociaux. Le risque de réputation croise de plus en plus le risque éthique dans sa dimension développement durable et de plus en plus dans sa dimension gouvernance (respect des engagements pris).t soigner leur e-réputation. Le risque de réputation est exacerbé. Le rôle des médias et ces évolutions récentes (e-réputation / éthique de l’entreprise) sont très bien illustrés dans l’étude VISIBRAIN. Je vous propose un extrait de l’article d’Olivier Cimelière sur ce sujet ; vous pouvez le lire dans son intégralité sur son blog, le blog du communicant, en cliquant sur le titre de l’article.

Réputation des marques : 5 enjeux numériques à intégrer en 2021

2021, année de tous les dangers réputationnels ? A l’aune de cette année très particulière qui s’achève (enfin !) et qui aura dopé comme jamais les conversations et les contenus en ligne, Visibrain, la plateforme de veille d’Internet et des réseaux sociaux, a tracé 5 tendances majeures qui devraient perdurer, voire s’amplifier à l’encontre des marques et des entreprises. Points saillants d’un rapport instructif.

Pour le meilleur et pour le pire, l’année 2020 marque la consécration du digital dans la construction des réputations et des perceptions. Confinement oblige, jamais les citoyens ne se sont autant connectés sur les réseaux sociaux. Même si chaque génération a ses terrains numériques de prédilection, le volume des conversations et des partages de contenus n’a cessé de gonfler. La pandémie de la Covid-19 est évidemment le vecteur principal des commentaires des internautes. Néanmoins, les causes sociétales et environnementales ne sont pas en reste. Pour les marques et les entreprises, il s’avère plus que jamais d’être agile face aux menaces comme aux opportunités sous peine de réputation entamée.

Tendance n°1 : La réputation des marques est plus que jamais liée aux enjeux de société

Les débats sociétaux et environnementaux rattrapent et embarquent de plus en plus les marques. Même si ces dernières sont loin d’être demeurées à l’écart en lançant des programmes de développement durable, en soutenant des initiatives citoyennes et en se préoccupant davantage de leur raison d’être, elles sont de plus en plus souvent interpelées, voire sommées de s’engager et prendre des positions sur un sujet donné. En 2020, les thèmes n’ont pas manqué. Il y a bien sûr eu la crise sanitaire où les entreprises ont redoublé d’efforts pour apporter une contribution à mesure de leurs expertises et de leurs possibilités. Cela ne doit pas occulter d’autres causes qui ont tiré par la manche nombre de marques afin qu’elles évoluent dans leur positionnement ou leurs promesses.

A cet égard, on peut citer deux cas emblématiques : l’arrestation mortelle de George Floyd aux USA qui a entraîné l’explosion du mouvement #BlackLivesMatter et la campagne intense autour de l’esclavagisme de la minorité ouïghoure pratiqué par le gouvernement chinois. Dans le premier cas, plusieurs marques renommées ont senti le vent du boulet à tel point que le groupe Mars, propriétaire de la célèbre marque Uncle Ben’s, a décidé de se débarrasser de la bobine conviviale de son effigie face à la résurgence d’un passé esclavagiste dans les Etats du Sud. D’autres marques se sont engouffrées à leur tour dans le débat antiraciste mais non sans déclencher parfois des grincements de dent et des critiques cinglantes. Nike s’est aussi profondément impliqué avant de se faire flasher par le deuxième cas. Une ONG accuse en effet la marque d’exploiter le travail forcé des Ouïghours dans des manufactures chinoises.

Ces illustrations montrent concrètement que les entreprises ne peuvent plus ignorer la tectonique permanente des enjeux de société. Le rapport Visibrain note ainsi : « La RSE, qui était jusqu’alors un moyen de différenciation, est aujourd’hui un prérequis. Il en va de même pour le bien-être animal, l’égalité homme-femme, mais aussi le respect des droits de l’Homme, autant de causes qui prennent de plus en plus de place sur la scène sociale et pour lesquelles il faudra rendre des comptes en cas de mauvaises conduites. Ainsi, le degré d’engagement social d’une marque contribue directement sur sa perception, positivement comme négativement ».

Tendance n°2…

Blog Le Communicant. O. Cimelière. Décembre 2020

élargissement du domaine du risque, Corruption, GESTION DES RISQUES, loi sapin II, quantification-cartographies, RISQUES

Risques de corruption. Dispositifs anti-corruption : des progrès à faire

Laisser un commentaire

Dans les archives mensuelles (situées tout en bas à gauche de la page) ou en recherchant « Risque de corruption » retrouver et relire :

  1. Loi Sapin : rôle du régulateur-législateur et résumé de la loi / article « Trois ans après, où en sont les entreprises ? » ; Archives octobre 2020
  2. Cartographies de risques de corruption ; Archives juillet 2020

Aujourd’hui après la présentation de la loi, le bilan à N+3 et la présentation de l’outil de gestion des risques, je vous propose un article sur les progrès dans la mise en place des plans d’actions anti-corruption.

Dispositifs anti-corruption : des progrès à faire

Grant Thornton a publié début octobre la 3e édition de son baromètre sur les dispositifs anti-corruption des entreprises. Axé cette année sur la maturité, il constate des progrès dans tous les domaines mais pointe également de nombreux retards.

Près de 4 ans après l’instauration de la loi Sapin 2, où en sont les entreprises en termes de dispositifs anti-corruption ? C’est la question à laquelle le Baromètre de Grant Thornton consacré au sujet essaie de répondre, pour la troisième année consécutive. « Le constat général est qu’il y a des progrès dans tous les domaines même si c’est parfois un peu poussif », résume Nicolas Guillaume, Business Risk Services & Forensic Lead Associé chez Grant Thornton qui a supervisé la réalisation de ce baromètre. Il reconnaît cependant que le baromètre Grant Thornton est exigeant puisque pour être jugé conforme en termes de dispositif anti-corruption, il faut être conforme à tout.

Difficile évaluation des tiers

Et force est de constater que peu d’entreprises sont en conformité : 90% des entreprises sont  » non conformes « . Ce chiffre est certes un mieux par rapport à 2019 (seules 6% des entreprises étaient alors conformes) mais il y a encore de nets progrès à faire, notamment dans le domaine de l’évaluation des tiers : seules 19% d’entités sont conformes. « C’est opérationnellement très lourd de passer au peigne fin toute sa chaîne, d’autant plus quand le business est très éclaté, avec beaucoup de transactions », analyse Nicolas Guillaume.

Deux autres thèmes progressent doucement : le dispositif de suivi (44% d’entités conformes) et les contrôles comptables (46%). « Sur les contrôles comptables, les entreprises rencontrent des difficultés à identifier quels sont les points spécifiques à relever et comment s’organiser pour le faire. Quant au dispositif de suivi, ce n’est pas étonnant qu’il ne soit pas avancé : il faut d’abord progresser sur les autres sujets », explique Nicolas Guillaume.

Doublement de la maturité sur la cartographie des risques

Le Baromètre note par contre de gros progrès en matière de cartographie des risques : nous avons presque constaté un doublement de la maturité, les entreprises conformes étant passées de 40% en 2018 à 71% aujourd’hui », rapporte

L’associé Grant Thornton souligne également que si la proportion d’entités totalement conformes évolue lentement (10% contre 6 % précédemment), le taux de conformité moyen progresse quant à lui fortement, passant de de 57 % à 79 %.

Prévention des risques

Les progrès sont là mais les entreprises doivent mieux faire, ne serait-ce que pour éviter de se faire rattraper par le régulateur sur les questions d’anti-corruption. « Il y a également un aspect de responsabilité sociétale : les entreprises ont tout intérêt à utiliser leurs ressources dans d’autres sujets qu’en faveur d’intermédiaires véreux », souligne Nicolas Guillaume. Il insiste aussi sur la notion de risque : « Un dispositif efficace peut permettre d’éviter de se faire piéger par des gens peu scrupuleux et de protéger son activité ».

C’est pourquoi la cartographie des risques est si importante : cela permet de prendre conscience de la nécessité d’agir sur certains sujets dans l’intérêt de son entreprise. « Les entreprises débutent leurs travaux pour des raisons réglementaires mais quand les dirigeants se rendent compte en avançant que des collaborateurs se sont retrouvés dans des situations compliquées le sujet devient moins technocratique et les intéresse davantage », observe Nicolas Guillaume.

L’associé Grant Thornton rapporte par ailleurs que le panel du Baromètre est constitué d’entités non soumises aux exigences de la loi Sapin 2 mais qui ont décidé volontairement d’engager les démarches pour satisfaire aux exigences. « Ces entités évoluant majoritairement à l’international et ayant des clients soumis à Sapin 2 ont perçu l’enjeu commercial de se positionner comme un partenaire compliant« , pense Nicolas Guillaume.

Identifier les enjeux

Nicolas Guillaume reconnaît cependant la complexité de certains sujets de la loi Sapin 2. « L’Agence française anticorruption (AFA) est en train de mettre à jour certaines de ses recommandations : elles seront plus explicites pour les entreprises », indique Nicolas Guillaume. Il entrevoit un autre problème à la mise en place des dispositifs anti-corruption dans les entreprises : le manque de temps et de ressources. « Dans la période actuelle, les entreprises ont de plus d’autres préoccupations ».

Il conseille de débuter par une cartographie des risques établie avec sérieux afin d’identifier les sujets à enjeux pour l’entreprise. « Cela permet de ne pas adopter une approche monolythique : il s’agit non pas de faire tous les tiers ni tous les contrôles comptables à la fois mais de se concentrer sur les vraies zones d’enjeux », recommande-t-il.

Nicolas Guillaume insiste aussi sur la culture d’entreprise: « Les procédures sont importantes mais ce qui compte c’est la façon dont se comportent les collaborateurs face à une situation compliquée : il s’agit d’éduquer les gens, de leur faire prendre conscience de ces problématiques afin qu’ils acquièrent les bons réflexes ». Les dispositifs anti-corruption comprennent donc un volet management et formation.

Eve Mennesson. 2 nov. 2020 

approche socio-cognitive: rex, apprentissage, élargissement du domaine du risque, cyberisque-cybersécurité, GESTION DES RISQUES, RISQUES, suivi des risques-analyse des résultats

Cloture du CYBERMOIS : L’apprentissage par le jeu comme outil de sensibilisation des equipes à la Cybersecurité

Laisser un commentaire

La mise en place par certains Risk Managers d’outils hors contrôle tels que le retours d’expérience, les réunions, la responsabilité des opérationnels, l’appropriation des outils permettraient aux Risk Managers d’avoir l’appui des opérationnels et d’acquérir une légitimité cognitive (celle qui consiste à s’ancrer dans l’inconscient collectif pour être compris par les parties prenantes, devenir incontournable ; elle est le « graal » de la légitimité.) Nous évoquons ces outils dans nos travaux (Aubry et Montalan, 2007) et dans l’ouvrage La Fonction Risk Manager. Organisation, méthodes et positionnement (2019, p.96).

https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

L’apprentissage par le jeu fait notamment son apparition pour sensibiliser les équipes à l’enjeu de la cybersécurité.

Je vous propose ci-dessous pour clôturer le Cybermois :

  1. Un jeu proposé par l’ANSII pour vous tester
  2. Un article sur l’apprentissage de la cybersécurité par les serious games

Pour clôturer le Cybermois, l’ANSSI propose cet apprentissage par le jeu.

ILLUSTRATION

C’est à vous de jouer !
Pour la dernière semaine du #Cybermois, Léa, alias Dark Sissi, cherche de nouvelles victimes sur #Internet … Qui va-t-elle cibler aujourd’hui ? #cybersécurité #rançongiciel
Et vous, que feriez-vous ?
➡️ https://lnkd.in/dDh_eNr

Et vous, que feriez-vous ?

cybermois.fr • Lecture de 1 min

Pour clôture le Cybermois, je vous propose de découvrir l’univers des serious games :

Sensibilisation à la cybersécurité : les serious game tirent leur épingle du jeu

Vous souhaitez familiariser vos collaborateurs aux enjeux de cybersécurité de votre entreprise ? En les sensibilisant par le jeu plutôt que par des sessions de formation classiques, il devient possible de susciter leur intérêt et d’améliorer leur apprentissage. Bonnes pratiques.

Pour sensibiliser leurs équipes à ces épineuses questions, les entreprises recourent traditionnellement à des sessions de formation. Le décor : une salle de réunion peuplée de collaborateurs plus ou moins attentifs. Sur scène : un formateur faisant défiler les slides d’une présentation avec le rythme d’un métronome. Ce format comporte de nombreuses limites, notamment celle de devoir assimiler un très grand volume d’informations en un temps restreint. La session présentielle étant peu interactive, les participants se sentent moins impliqués, ce qui influe sur la quantité d’informations retenues

e-Learning, la panacée ?

Avec la démocratisation du e-learning dans les années 2000, les entreprises ont pu affiner leur stratégie de formation, avec la possibilité d’inclure des cas pratiques concrets, et proposer ces modules à un grand nombre de salariés, permettant à chacun de se former au moment qui l’arrange. Cependant, l’e-learning à lui seul reste insuffisant. Rapidement lassés par un format redondant, les apprenants finissent par faire défiler les modules de manière automatique, sans assimiler les contenus. Tout miser sur l’e-learning serait donc une erreur.

Pour impliquer les collaborateurs, les méthodes d’apprentissage les plus ludiques tirent aujourd’hui leur épingle du jeu. Celles-ci permettent de mémoriser des informations sans s’en rendre compte. Il est ainsi conseillé de miser sur une approche plus informelle, en imaginant des campagnes de sensibilisation marquantes, fondées sur le jeu, renforçant la cohésion d’équipe.

Pour marquer les esprits, le mieux est de simuler par le jeu les conséquences d’une attaque informatique. Il peut s’agir par exemple de démonstrations de piratage d’outils bureautiques, via de fausses campagnes de phishing ou des prises de contrôle de PC à distance. Pour un public évoluant au sein d’environnements industriels, le piratage de maquettes SCADA est aussi très visuel et montre très bien l’impact d’une cyberattaque sur une chaîne de production.

Questions pour un cyber-champion

Parce que le sel du jeu, c’est la compétition, organiser un challenge entre les collaborateurs au cours d’une session de formation permet de dynamiser l’apprentissage et de faciliter l’appropriation des messages-clés. Plusieurs formats peuvent inspirer les entreprises. Ainsi, le code de la cybersécurité reproduit les sessions du code de la route, en mettant à disposition des participants une télécommande pour répondre à une question parmi quatre propositions. Ces séances sont l’occasion d’aborder les bonnes pratiques du quotidien comme le verrouillage des sessions, la politique de mots de passe ou les bons réflexes en cas d’impression d’un document.

Les collaborateurs peuvent également s’affronter autour de Questions pour un cyber-champion : 200 questions traitent des bases de la cybersécurité, des simples bonnes pratiques pour protéger ses données personnelles, en passant par des thèmes plus difficiles abordant les protocoles sécurisés, les attaques informatiques, ou les équipements de sécurité, etc.

Jeu de cartes, escape game : les vertus de l’apprentissage en équipe

L’apprentissage collaboratif compte parmi les solutions les plus efficaces. La discussion permet en effet de reformuler les notions, facilitant ainsi leur appropriation. Ce travail d’équipe va également participer au renforcement des liens entre les salariés. Orange Cyberdefense a par exemple conçu un jeu de cartes pour découvrir les menaces liées à la navigation sur Internet. Chaque joueur doit déjouer les attaques informatiques de ses adversaires en mettant en œuvre les bonnes pratiques de sécurité.

Pour aller plus loin, un escape game au cours duquel les participants se mettent dans la peau d’un espion offre une expérience encore plus réaliste. Par équipe de cinq, ils doivent voler une formule secrète en moins d’une heure, en tirant parti des mauvaises pratiques de sécurité (mots de passe, mauvaise manipulation de documents, etc.).

Ces vecteurs de sensibilisation ludiques et innovants viennent ainsi compléter les approches plus traditionnelles utilisées en entreprise. Ce type de démarche suscite un intérêt particulier auprès des équipes qui enrichissent leur culture en cybersécurité et adoptent des comportements plus vertueux.

Notes : *Intermedia, 2017, Data Vulnerability Report