Archives pour la catégorie réglementation et amplification du risque

Octobre 2022 : le cyber-mois. Multiplication des cyberattaques. Causes/Conséquences. Focus sur les cyber-attaques visant les hôpitaux.

L’évaluation du cyber-risque (ses causes, ses conséquences) à partir de l’actualité ; les cyber-attaques continuent : un rapide état des lieux et un focus sur les cyber-attaques visant les hôpitaux à partir de deux articles.  
Les liens vers les précédentes publications du blog sur cette thématique
🏅Le cyber risque, risque n°1 pour les entreprises.
Un risque renforcé par le régulateur-législateur comme amplificateur                        du risque :   « Cyberattaque : le gouvernement légalise l’indemnisation des rançons »
Un risque nouveau aux modalités multiples, un risque subjectif qui le rend difficile à appréhender et à gérer, un risque difficile (« illusoire ») à assurer, un risque amplifié par le régulateur-législateur
❓Evaluation du risque : une probabilité élevée (voir causes nombreuses) ; un impact fort (voir coût élevé)
 🚴 Comment agir ?
👉 Indispensable, a minima complémentaire à l’assurance, mieux que l’assurance,  https://gestiondesrisques.net/2022/05/05/ca-bouge-du-cote-du-cyber-risque-3-un-projet-de-loi-permettant-a-lassureur-de-rembourser-les-cyber-rancons/ mettre en place des plans d’actions pour gérer le cyber risque 
👉 L’Agence Nationale de Sécurité des Systèmes d’Information (ANSII) propose des plans d’action et cinq mesures préventives pour gérer le cyber-risque.
Plans d’action / fraude au président
https://gestiondesrisques.net/2021/12/09/le-risque-variable-strategique-de-la-reflexion-des-entreprises-3-un-nouveau-risque-la-fraude-au-president-suite-un-exemple-de-plan-dactions/
Plans d’action / cyber-risques liés au télétravail
https://gestiondesrisques.net/2021/10/06/teletravail-risques-et-plans-dactions-ou-quels-plans-dactions-pour-gerer-les-risques-lies-au-teletravail-et-selon-quelle-approche-2/
https://gestiondesrisques.net/2021/09/29/quels-plans-dactions-pour-gerer-les-risques-lies-au-teletravail/
Nécessaire implication des salariés / gestion du cyber-risque
https://gestiondesrisques.net/2018/10/19/implication-des-collaborateurs-dans-la-demarche-de-gestion-des-risques-lexemple-du-cyber-risque/
Plans d’actions préconisés par l’ANSII
https://gestiondesrisques.net/2022/05/20/ca-bouge-du-cote-du-cyber-risque-4-comment-se-premunir-contre-une-cyberattaque/
La multiplication des cyberattaques. Causes. Quelques chiffres / impact

Le risque cyber croit de manière exponentielle chaque année :
80 % des cyber attaques en France visent des PME ;

94% des cyberattaques sont déclenchées par un email ;

54 % des PME victimes d’une cyber intrusion font état d’une perte > à 500 K€.

Selon une étude publiée par Titiana (une entreprise spécialisée dans la sécurité et la conformité des réseaux) et relayé par Le Monde Informatique, les erreurs de configuration des réseaux coûtent aux entreprises 𝟗 % 𝐞𝐧 𝐦𝐨𝐲𝐞𝐧𝐧𝐞 𝐝𝐞 𝐥𝐞𝐮𝐫 𝐜𝐡𝐢𝐟𝐟𝐫𝐞 𝐝’𝐚𝐟𝐟𝐚𝐢𝐫𝐞𝐬 𝐚𝐧𝐧𝐮𝐞𝐥.
Basée sur une enquête menée auprès de responsables de la cybersécurité de divers secteurs, l’étude met en garde contre les configurations erronées qui rendent les entreprises vulnérables aux cyberattaques et 𝐩𝐞𝐮𝐯𝐞𝐧𝐭 𝐩𝐞𝐫𝐝𝐮𝐫𝐞𝐫 𝐬𝐮𝐫 𝐥𝐞𝐬 𝐫𝐞́𝐬𝐞𝐚𝐮𝐱 𝐩𝐞𝐧𝐝𝐚𝐧𝐭 𝐝𝐞𝐬 𝐦𝐨𝐢𝐬, 𝐯𝐨𝐢𝐫𝐞 𝐝𝐞𝐬 𝐚𝐧𝐧𝐞́𝐞𝐬, 𝐝𝐮 𝐟𝐚𝐢𝐭 𝐝𝐞 𝐥𝐚 𝐫𝐚𝐫𝐞𝐭𝐞́ 𝐝𝐞𝐬 𝐚𝐮𝐝𝐢𝐭𝐬 𝐫𝐞́𝐚𝐥𝐢𝐬𝐞́𝐬 𝐬𝐮𝐫 𝐥𝐞𝐬 𝐚𝐩𝐩𝐚𝐫𝐞𝐢𝐥𝐬 𝐜𝐨𝐧𝐧𝐞𝐜𝐭𝐞́𝐬.
« Les réseaux peuvent subir des changements tous les jours, … ce qui entraîne une dérive de la configuration », a expliqué Phil Lewis, CEO de Titania. « Étant donné que les pare-feux, les routeurs et les commutateurs sont au cœur de la sécurité de tous les réseaux, les entreprises devraient vérifier tous leurs équipements … pour détecter les erreurs de configuration, accidentelles ou délibérées, qui pourraient entraîner des risques de sécurité critiques ».

Octobre 2022

Une cyberattaque a coûté plus de 45 M€ de pertes d’exploitation à CAMAÏEU !
C’est l’une des plus grandes marques de mode féminine françaises, mais elle est dans la tourmente : Camaieu, 517 magasins et 2 574 salariés est en liquidation judiciaire

Août 2022

CLESTRA le roi alsacien des cloisons de bureaux réalisant 145M€ de chiffre d’affaires et employant 700 salariés, a été placée en redressement judiciaire en raison d’une cyberattaque majeure qui a coûté entre 2 et 3M€ à la société en avril dernier.


Focus sur les cyberattaques visant les hôpitaux
Quatre questions sur la diffusion par des hackers de données de santé de l’hôpital de Corbeil-Essonnes

Les hackers ont commencé à diffuser des données de patients, personnels et partenaires du Centre hospitalier Sud Francilien vendredi.

L’affaire s’étale depuis plus d’un mois. Le 21 août dernier, l’hôpital de Corbeil-Essonnes, en banlieue parisienne a été victime d’une cyberattaque avec une demande de rançon. L’établissement ayant refusé de pays, les hackers ont finalement mis leur menace à exécution : ils diffusent, depuis vendredi 23 septembre, des données confidentielles. Cet hôpital assure la couverture sanitaire de près de 700 000 habitants de la grande couronne. Une enquête a été ouverte par le parquet de Paris et confiée aux gendarmes du Centre de lutte contre les criminalités numériques. « L’Obs » revient sur cette attaque avec quatre questions.

Les hôpitaux, des proies faciles face aux cyberattaques

  • De quel type d’attaque l’hôpital de Corbeil-Essonnes a-t-il été la cible ?

Le Centre hospitalier Sud Francilien a été victime d’une attaque via un logiciel rançonneur. Les rançongiciels permettent à des cybercriminels de chiffrer les fichiers des entreprises cibles, réussissant à paralyser tout ou partie de leur activité. Les pirates ont ensuite demandé une rançon de 10 millions de dollars pour déchiffrer les fichiers. Cette dernière aurait ensuite été ramenée à un million de dollars avant d’être à nouveau augmentée à deux millions.

Les acteurs de la cybercriminalité recherchent des cibles ayant un impératif opérationnel, comme les systèmes de santé. Mais en France, les hôpitaux publics ne peuvent pas payer de rançon du fait de leur statut.

« C’est une obsession, tous les jours, de trouver de la place pour les malades ! »

D’autres attaques visent à récupérer des données nominatives pour les monnayer sur le darkweb. « Je vois assez peu l’intérêt de voler des données de patients français », note cependant Cyrille Politi, conseiller en numérique à la Fédération hospitalière de France (FHF), qui rappelle que les dossiers des hôpitaux publics ne comportent ni information bancaire ni mot de passe.

  • À qui appartiennent les données qui sont désormais diffusées ?

Les données publiées vendredi par les hackers « semblent concerner nos usagers, notre personnel ainsi que nos partenaires », a annoncé ce dimanche le CHSF, dans un communiqué envoyé à l’AFP.

Parmi les données divulguées sur le site des cyberattaques figurent potentiellement « certaines données administratives », dont le numéro de sécurité sociale, et « certaines données santé telles que des comptes rendus d’examen et en particulier des dossiers externes d’anatomocytopathologie, de radiologie, laboratoires d’analyse, médecins », précise l’établissement.

« Les bases de données métiers du CHSF, parmi lesquelles figurent les dossiers personnalisés des patients (DPI) et les dossiers relatifs à la gestion des ressources humaines, n’ont pas été compromises », ajoute l’hôpital essonnien dans son communiqué. « L’attaque semble avoir été circonscrite aux serveurs virtuels et à une partie seulement de l’espace de stockage du CHSF (environ 10 %) », détaille-t-il également.

Pourquoi l’hôpital est face à un « risque de cataclysme sanitaire »

Les hackers avaient fixé un ultimatum au 23 septembre à l’hôpital pour payer la rançon. Le délai expiré, ils ont diffusé une série de données. Selon le site spécialisé Zataz, les pirates Lockbit 3.0 ont diffusé ainsi plus de 11 GO de contenus sensibles.

  • Quelle est la réaction du gouvernement ?

Pour lutter contre ce phénomène en expansion, l’Etat avait annoncé consacrer à la cybersécurité des établissements de santé une enveloppe de 25 millions d’euros dans le cadre des 136 millions consacrés à la cybersécurité des acteurs publics pour 2021 et 2022. Parallèlement, 135 hôpitaux ont été désignés « opérateurs de services essentiels », ce qui leur impose de respecter des règles de cybersécurité plus exigeantes que les institutions ordinaires.

Le ministre de la Santé, François Braun, et le ministre délégué chargé de la Transition numérique, Jean-Noël Barrot, en déplacement à Corbeilles-Essonne, ont annoncé le déblocage de 20 millions d’euros supplémentaires pour la protection des établissements de santé. « La santé des Français ne sera pas prise en otage », avait assuré le ministre de la Santé, cinq jours après l’attaque.

Début septembre, Bercy a décidé de mettre fin à une zone grise qui pouvait encourager la cybercriminalité : les assureurs peuvent désormais rembourser les rançons payées par leurs clients.

« Nos patients sont en danger ! » : l’alerte des soignants sur la situation de l’hôpital

Mais la lutte contre la cybercriminalité dépasse amplement le cadre des établissements de santé. Le « coût mondial de la cybercriminalité est évalué à 6 milliards de dollars par an », et les enquêtes sont « toujours très longues, peuvent durer plusieurs mois, voire plusieurs années » et nécessiter une importante coopération internationale, a indiqué à l’AFP le général Christophe Husson, commandant en second du Commandement de la gendarmerie dans le cyberespace (ComCyberGend).

Quel est l’impact de ces attaques sur les hôpitaux ?

« Tout dépend du type d’attaque et si l’équipe informatique arrive à intervenir avant qu’elle ne touche le dossier patient, le cœur du système d’information », détaille Cyrille Politi. Si elle n’y parvient pas, la structure cible peut replonger dans l’ère pré-informatique, impactant et ralentissant toute la communication entre services, notamment les rendus d’examens biologiques ou d’imagerie.

À l’hôpital de Corbeil-Essonnes, la bonne marche de l’établissement a été largement entravée. Deux semaines après l’attaque, les activités des urgences adultes étaient diminuées de moitié. Environ 90 patients étaient accueillis par cet hôpital du sud-est de Paris par jour contre 230 en activité normale.

« L’hôpital public se meurt et tout le monde s’en fout ! »

Un an après avoir été attaqué en février 2021, l’hôpital de Dax, dont les hackers avaient réussi à bloquer même les fichiers sauvegardés, évaluait avoir dû débourser 174 000 euros pour reconstruire son réseau informatique, et au total 2,36 millions d’euros en comptant les prestations de cybersécurité, la sous-traitance, le coût RH et les pertes commerciales, selon un retour d’expérience publié par l’Agence nationale d’appui à la performance (Anap).

« Plus d’un an après, si le cyclone et la tempête sont derrière nous, il reste des stigmates forts, et le Centre hospitalier est loin de naviguer sur une mer d’huile », note l’établissement, cité par l’Anap. Certains logiciels, notamment de bloc opératoire ou d’échographie anténatale, ne sont toujours pas accessibles.

Par L’Obs. Septembre 2022.

Cyberattaques : quels risques pour les hôpitaux et leurs patients ?

Après l’hôpital de Corbeil-Essonnes, l’Ehpad de Beuzeville (Eure) a été victime d’une nouvelle cyberattaque. Ces actes, de plus en plus nombreux, ne sont pas sans danger pour les établissements de santé et leurs patients.

L’hôpital de Corbeil-Essonnes a subi une cyberattaque d’ampleur dans la nuit de samedi à dimanche.

Les cyberattaques sont loin d’être sans conséquences pour les établissements de santé et leurs patients. L’Ehpad de Beuzeville, dans l’Eure, est le dernier à en avoir fait les frais mercredi 24 août. Dans la nuit de samedi à dimanche précédent, c’est l’hôpital de Corbeil-Essonnes, dans le sud-est de Paris, qui voyait son activité fortement perturbée par une cyberattaque d’ampleur de type « rançongiciel ».

Au total, plus de 730 incidents cyber ont été recensés dans le secteur de la santé en 2021, plus du double de l’année précédente. Lorsqu’ils sont touchés par des cyberattaques, « les systèmes informatiques des hôpitaux sont complètement bloqués », explique Corinne Hénin, experte indépendante en cybersécurité. Et pour cause, « tout est informatisé aujourd’hui, du simple scanner aux prescriptions médicales », indique la spécialiste.

Retour au papier

L’attaque visant le réseau informatique du Centre hospitalier sud francilien (CHSF) de Corbeil-Essonnes a ainsi rendu inaccessibles « tous les logiciels métiers de l’hôpital, les systèmes de stockage et le système d’information ayant trait aux admissions de la patientèle », selon un communiqué de l’établissement.

Depuis, c’est retour au papier pour le personnel, contraint de traiter les dossiers manuellement. « Les infirmières, au lieu de saisir par informatique toutes les données des patients, doivent à nouveau remplir des pancartes », expliquait lundi Valérie Caudwell, présidente de la commission médicale du CHSF, sur France Info.

La fiabilité des traitements pénalisée

Touché par une cyberattaque similaire en février 2021, l’hôpital de Dax (Landes) avait dû reporter certaines opérations, faute d’accès aux dossiers de ses patients. Le CHU de Rouen, également victime d’une cyberattaque massive en novembre 2019, avait quant à lui dû traiter les admissions de ses patients à la main, ralentissant considérablement leur prise en charge.

« Un hôpital touché ne peut pas traiter ses patients de la même manière », résume Ingrid Söllner, directrice marketing chez Tehtris, entreprise spécialisée en cybersécurité, alors que les hôpitaux souffrent déjà de sous-effectifs. « Avec le retour au papier, la fiabilité des traitements est fortement pénalisée », estime-t-elle.

Le retour à la normale peut prendre du temps. Un an et demi après, l’hôpital de Dax en garde des « stigmates » selon Aline Gilet-Caubère, sa directrice adjointe. « Au-delà de l’impact sur le collectif qui se fait toujours ressentir, environ 2 % des applicatifs n’ont pas encore été remontés », indique-t-elle.

Les patients comme cibles potentielles

Lors d’une cyberattaque, les patients peuvent par ailleurs directement être pris pour cibles. « Un pirate peut décider de changer la lecture d’un électrocardiogramme et induire le personnel soignant en erreur », alerte Benoît Meulin, porte-parole de WithSecure, entreprise spécialisée dans la cybersécurité.

Les patients peuvent aussi faire l’objet de chantage. C’est ce qui est arrivé en octobre 2020 en Finlande. Des pirates ont dérobé les données de milliers de malades d’une société de psychothérapie, dont leurs discussions avec les médecins. Ils les ont ensuite fait chanter individuellement en menaçant d’en divulguer le contenu.

Un autre risque est l’usurpation d’identité. « Plus vous avez d’informations sur les patients, plus c’est facile d’usurper leur identité », explique Corinne Hénin. Enfin, « les données peuvent se retrouver en vente sur le darknet », ajoute Aroua Biri, experte en cybersécurité, « ce qui fait courir un risque à leur confidentialité ».

La cyberattaque la plus dramatique reste à ce jour celle qui a visé la clinique de Düsseldorf en septembre 2020. Une patiente qui devait y être opérée est morte lors de son transfert d’urgence vers l’hôpital de Wuppertal, à une trentaine de kilomètres.

Marius BOCQUET. Août 2022

Publicité

Analyse des Risques : une façon d’analyser l’ampleur des risques ou comment parler de l’ampleur des risques (2). Le risque géopolitique

L’actualité témoigne d’une ampleur inédite des risques sous l’effet des cinq facteurs à l’œuvre depuis les années quatre-vingt-dix, qui fait aujourd’hui de sa gestion une variable stratégique de la réflexion des organisations.

🏁 Un ouvrage / « Risk Management. Organisation et Positionnement de la Fonction Risk Manager. Méthodes de Gestion des Risques. » / Paru le 9 juin 2022 / Editions Gereso. https://librairie.gereso.com/livre-entreprise/risk-management-fris2.html

Sites FNAC…

Il s’agit de :

La 2ème édition de notre ouvrage « La Fonction Risk Manager. Organisation, Méthodes et Positionnement » (Editions Gereso, 2019)

Avec un titre plus « large » / La Fonction Risk Manager / La démarche de Gestion des Risques

 Avec de nouveaux exemples :

Comme, dans le chapitre I « Définition des notions et contextualisation de la Fonction Risk Manager, celui intitulé « Du Risque incendie au Risque éthique : l’incendie de l’usine Lubrizol »

Pour illustrer

  • l’imbrication des facteurs déjà mis en œuvre depuis les années quatre-vingt-dix
  • la transversalité du risque.

🎯 Aujourd’hui, après « Risque Ethique et Risque de Réputation » paru sur le blog (https://gestiondesrisques.net/), je vous propose un autre exemple à travers une analyse du risque géopolitique

  Mêmes facteurs : élargissement du domaine de la gestion des risques / subjectivité et perception du risque / amplification du risque par les médias / le régulateur-législateur / réticence des assureurs à l’assurer

Transversalité du risque : Géopolitique / Cyber-sécurité / Supply Chain

🏅Testez cette grille de lecture sur les risques du Top Ten des baromètres de risques –  cyber-risque/risque sanitaire… – ; sur les affaires – Incendie de l’usine Lubrizol…-.

Le risque géopolitique au centre des préoccupations

N° 13 dans le baromètre Allianz 2022 mais N° 4 dans le Top 10 des risques opérationnels / Enquête RiskIn, 2022. Sans surprise, il est en hausse de plusieurs places cette année.

🔄Un risque transversal

Ci-dessous un aperçu de l’enquête :

« L’invasion de l’Ukraine, les sanctions occidentales et la réponse russe entraînent une forte augmentation des risques liés à la cybersécurité et à la chaîne d’approvisionnement.

Le directeur des risques d’un grand gestionnaire d’actifs européen résume succinctement l’impact de la guerre dévastatrice de la Russie en Ukraine sur le profil de risque opérationnel de son entreprise : « Nous avons la guerre en Europe. Pas seulement de petits moments : des choses qui font entièrement bouger notre entreprise. » Et bien que les votes de l’enquête annuelle Top 10 des risques opérationnels de Risk.net aient été exprimés à l’avènement – dans un climat de détérioration des relations et de rassemblement des troupes russes aux frontières de l’Ukraine – la guerre et ses conséquences ont jeté une ombre horrible sur les résultats de cette année.

Le risque global d’une augmentation des cyberattaques parrainées par l’État en réponse aux sanctions est « une probabilité », déclare un responsable du cyber-risque. Cependant, l’impact de l’instabilité mondiale a des ramifications potentielles beaucoup plus larges pour le profil de menace de sa banque, ajoute le dirigeant : « Je ne prendrais pas seulement ce cas pour mélanger les deux entièrement – le risque géopolitique a [un] élément cyber, mais aussi la chaîne d’approvisionnement ». Et des éléments de résilience aussi. »

La résilience est la capacité à maintenir des services ou des opérations critiques pendant les périodes de perturbation. Les attentes ont été formalisées par les principes de résilience des régulateurs britanniques – qui devraient entrer en vigueur fin mars 2022 – et ont été testées dans le monde réel sous la forme de la pandémie de Covid-19, ainsi que la menace très réelle de pannes frappant les réseaux de paiement. Et d’autres éléments clés de l’infrastructure mondiale à la suite de l’invasion de l’Ukraine.

Ouvrage, disponible aujourd’hui 9 juin 2022, « RISK MANAGEMENT. ORGANISATION ET POSITIONNEMENT DE LA FONCTION RISK MANAGER. METHODES DE GESTION DES RISQUES. »

Professionnels qui souhaitez découvrir ou approfondir vos connaissances sur le Risk Management et la Fonction Risk Manager : un ouvrage, disponible aujourd’hui 9 juin 2022, « RISK MANAGEMENT. ORGANISATION ET POSITIONNEMENT DE LA FONCTION RISK MANAGER. METHODES DE GESTION DES RISQUES. »
🏁 Il est disponible aujourd’hui, 9 juin 2022 / Sur le site de GERESO Editions, collection Management https://librairie.gereso.com/livre-entreprise/risk-management-fris2.html
/ Sur les sites de la FNAC, AMAZON… 

🎯 Il s’agit de :
La 2ème édition de notre ouvrage 📖  « La Fonction Risk Manager. Organisation, Méthodes et Positionnement » / paru chez Gereso Editions / en 2019 / labellisé FNEGE dans la catégorie Manuel en 2020
✅ Avec un titre plus « large » / La Fonction Risk Manager / La démarche de Gestion des Risques
✅ Avec des ajouts :
👉 Une nouvelle période d’analyse / de 2019 à aujourd’hui
👉 L’intégration des nouveaux enjeux :
  • la loi sur le devoir de vigilance
  • le risque éthique et le risque de réputation
  • le risque cyber, le risque de fraude et leur gestion
  • le rôle du Risk Manager face à la crise sanitaire du Covid 19

👉 De nouveaux exemples

👓 Pour ceux qui découvrent notre ouvrage, vous y trouverez : 
✅ Un panorama complet de votre fonction (activité, place dans l’organisation, compétences), de la démarche de gestion des risques et de ses outils
✅ Des préconisations pour faire évoluer la fonction
✅ Une double approche académique et de terrain, au niveau du contenu, de nos parcours professionnels, des personnalités qui nous ont fait l’honneur de rédiger la préface et la postface.  

#risques #riskmanagement #gestiondesrisques #ERM#EnterpriseRiskManagement#analysedesrisques #riskmanager #gestionnairederisques #riskofficer #mastergestiondesrisques

Une façon d’analyser l’ampleur des risques ou comment parler de l’ampleur des risques.

L’actualité témoigne d’une ampleur inédite des risques sous l’effet des cinq facteurs à l’œuvre depuis les années quatre-vingt-dix, qui fait aujourd’hui de sa gestion une variable stratégique de la réflexion des organisations.

🏁 Un ouvrage à venir / « Risk Management. Organisation et Positionnement de la Fonction Risk Manager. Méthodes de Gestion des Risques. » / Parution le 9 juin 2022 / Editions Gereso.

https://librairie.gereso.com/livre-entreprise/risk-management-fris2.html

Il s’agit de :

La 2ème édition de notre ouvrage «  La Fonction Risk Manager. Organisation, Méthodes et Positionnement » (Editions Gereso, 2019)

Avec un titre plus « large » / La Fonction Risk Manager / La démarche de Gestion des Risques

 Avec de nouveaux exemples :

Comme, dans le chapitre I « Définition des notions et contextualisation de la Fonction Risk Manager, celui intitulé « Le Risque de Réputation et le Risque Ethique : une « nouvelle » affaire Nike

Pour illustrer

  • l’imbrication des facteurs déjà mis en œuvre depuis les années quatre-vingt-dix
  • la transversalité du risque.

🎯 Aujourd’hui, je vous propose un autre exemple à travers un article de Nathalie Belhoste sur ce qu’il est convenu d’appeler l’affaire Lafarge.

  Même intitulé : Risque de Réputation et Risque Ethique.

 Mêmes facteurs : élargissement du domaine de la gestion des risques / subjectivité et perception du risque / amplification du risque par les médias / le régulateur-législateur / réticence des assureurs à l’assurer / les « affaires » / amplification du risque par le régulateur-législateur.

  Transversalité du risque : Réputation / Ethique / Géopolitique.

🏅Testez cette grille de lecture sur les risques du Top Ten des baromètres de risques –  cyber-risque/risque sanitaire… – ; sur les affaires – Incendie de l’usine Lubrizol…-.

Affaire Lafarge en Syrie, pour Nathalie Belhoste, il y a eu « une myopie organisationnelle »

Que nous apprend l’affaire Lafarge en Syrie sur la responsabilité des entreprises en temps de guerre ?

Nathalie Belhoste, professeure associée à l’école de management de Grenoble : « De mon point de vue, cette affaire révèle plusieurs failles dans la compréhension des éléments par les entreprises. Le cimentier a fait preuve d’une myopie organisationnelle dans le sens où il a voulu rester à tout prix pour sauver des investissements énormes (680 millions d’euros sur le site) et s’est retrouvé dans une situation de dépendance vis-à-vis d’acteurs illégitimes et illégaux. Ce phénomène a été renforcé par une gestion à distance entre l’usine et le siège social qui a pu nuire à l’appréciation du danger de la complexité locale. Par ailleurs, les signaux forts auraient dû être observés et ne l’ont pas été (comme le développement des sanctions et embargos au fil des années). »
De nombreuses entreprises s’en sont allées de Russie, comme Renault et McDonald’s tout récemment, que ce soit par solidarité avec l’Ukraine ou parce qu’elles étaient asphyxiées par les sanctions. Quel parallèle peut-on faire avec l’affaire Lafarge ?« Rappelons d’abord que les situations sont bien différentes : en Syrie, il s’agissait d’une guerre civile, tandis qu’en Ukraine, c’est un conflit entre deux États-nations. Toutefois, on voit que les entreprises ne réagissent plus avec la même temporalité. On se pose beaucoup plus tôt la question de savoir s’il faut rester dans un pays en guerre. Des affaires comme celles de Lafarge ont permis de se rendre compte du coût pénal à ne pas appliquer la loi. Et il ne faut pas oublier la mise en place de la loi Sapin II et l’instauration du devoir de vigilance en 2017 (qui imposent aux entreprises des procédures de vérification des tiers afin notamment de lutter contre la corruption, le trafic d’influence, l’atteinte aux droits humains, à l’environnement et à la santé des personnes). Cela oblige les entreprises à être plus conscientes des conséquences de leurs actions. »
Parfois, c’est la pression de la société civile qui a poussé les entreprises à partir de Russie…« Oui, tout à fait. Et c’est une différence fondamentale entre les deux situations : la mobilisation a été beaucoup plus rapide en 2022 pour l’Ukraine qu’elle ne l’a été en 2011 en Syrie. Bien sûr, la médiatisation et la lecture claire de la guerre en Syrie se sont faites plus graduellement, mais on voit aussi que la société civile a changé. Les ONG et la population sont bien plus sensibilisées et ont appelé très rapidement au boycott de plusieurs entreprises restées en Russie. Il est intéressant de voir qu’elles ne sont pas toutes logées à la même enseigne et que certaines, moins connues du grand public, sont restées sans subir les foudres de la vindicte populaire. »

Repères

Une possible mise en examen de Lafarge

La cour d’appel de Paris rendra mercredi sa décision sur la validité de la mise en examen du groupe pour « complicité de crimes contre l’humanité ». Lafarge SA est soupçonné d’avoir versé en 2013 et 2014, via une filiale, près de 13 millions d’euros à des groupes terroristes, dont l’organisation État islamique (EI), afin de maintenir l’activité d’une cimenterie en Syrie alors que le pays s’enfonçait dans la guerre. Le groupe a toujours contesté toute responsabilité dans la destination de ces versements à des organisations terroristes. Dans ses réquisitions, le parquet général a demandé le maintien de la mise en examen pour « complicité de crimes contre l’humanité » de Lafarge mais a requis l’annulation de sa mise en examen pour « mise en danger de la vie d’autrui ». Les avocats du cimentier n’ont pas souhaité faire de commentaire avant le délibéré de mercredi.

Nathalie Belhoste. 17/05/2022. 

LE LEGISLATEUR-REGULATEUR, AMPLIFICATEUR DE RISQUE. DEUX NOUVELLES ILLUSTRATIONS ISSUES DE L’ACTUALITE. (3) QUE SAIT-ON DE LA LOI SAPIN III ?

Cinq ans après la naissance de la loi Sapin2, la France donne son feu vert à ce qui ressemble à une nouvelle loi « Sapin 3 ». Alors que Sapin 2 a marqué un véritable tournant dans la lutte contre la corruption en France en introduisant des changements significatifs, en créant l’Agence Français Anticorruption (AFA), et en ajoutant une dimension préventive qui n’existait pas ailleurs : l’obligation pour certaines entreprises privées de mettre en place des mesures anti-corruption, la France propose une refonte sérieuse de sa législation.
Un nouveau projet de loi promet un nouveau souffle à la lutte contre la corruption en France. 

Dans leur rapport rendu le 7 juillet 2021, les députés Raphaël Gauvain et Olivier Marleix, corapporteurs de la Commission des lois de l’Assemblée nationale chargée de l’évaluation de la loi Sapin 2, dressent un bilan positif de la loi Sapin II, mais notent que la France n’a pas progressé dans les indices internationaux de perception de la corruption depuis 2015. Ils ont relevé qu’en 2020, la France était classée 23e sur l’IPC de Transparency International, au même niveau qu’en 2015.

Ils font donc 50 propositions pour donner un nouveau souffle à la loi Sapin 2 pour renforcer la lutte contre la corruption en France. Le projet de loi n°4586 est directement inspiré du rapport.

Certains des changements proposés sont certainement intéressants pour les responsables de la conformité et les praticiens de la lutte contre la corruption. Voici quelques extraits pertinents

1. Modification du périmètre de l’AFA et création d’une nouvelle Autorité

Alors que la performance de l’AFA a été saluée dans le rapport pour avoir permis  « d’installer et de crédibiliser le dispositif issu de la loi Sapin 2, tant du point de vue des entreprises que de nos partenaires étrangers », le rapport considère que la système devrait être encore renforcé.

Le rapport propose de redéfinir et de recentrer les missions de l’AFA sur la coordination administrative. L’AFA serait désormais principalement chargée de centraliser et de partager les informations pour prévenir et détecter la corruption. Le rôle de l’AFA en tant que conseiller stratégique serait aboli.

Il est proposé de transférer les fonctions de conseil et de contrôle de l’AFA sur les programmes de conformité anti-corruption à la Haute Autorité pour la transparence de la vie publique , ou la Haute Autorité pour la transparence de la vie publique en anglais (HATVP) – une agence actuellement chargée d’identifier et prévenir les conflits d’intérêts potentiels entre les fonctionnaires français.

Le rapport suggère de créer une agence administrative indépendante unique pour les questions d’intégrité.

2. Sapin 2 s’appliquera à plus d’entités

Parmi les autres points à améliorer, le périmètre des entités soumises aux obligations de prévention et de détection prévues à l’article 17 de la loi Sapin 2 serait élargi. Actuellement, la loi permet aux « petites » filiales françaises (moins de 500 salariés, moins de 100 millions d’euros de chiffre d’affaires) de « grands » groupes étrangers de ne pas être soumises à l’article 17 de la loi Sapin 2.

Le rapport recommande de supprimer la condition relative à l’implantation en France du siège social de la société mère, afin de soumettre aux obligations prévues à l’article 17 les petites filiales de grands groupes étrangers établies en France, dès que la société mère dépasse les seuils prévus par la loi Sapin 2 (plus de 500 salariés et au moins 100 millions d’euros de chiffre d’affaires). 

Cela ouvrirait la porte à une égalité de traitement entre les petites filiales de grands groupes implantées en France, que la maison mère soit ou non établie en France.

Par ailleurs, les députés notent que l’article 3 de la loi Sapin 2 prévoit que la compétence de l’Agence française de lutte contre la corruption s’étend aux personnes publiques, mais la loi ne précise pas, la nature des obligations qui lui incombent ni ne prévoit de toute sanction en cas d’insuffisance ou de non-respect de ces obligations. 

Par conséquent, ils jugent nécessaire de créer des obligations de conformité adaptées aux administrations publiques, qui seraient adaptées à leur taille et aux risques auxquels elles sont exposées. 

3. En savoir plus sur la Convention judiciaire d’intérêt public  (CJIP)

Depuis sa mise en œuvre par la loi Sapin II, la CJIP (l’équivalent français du Deferred Prosecution Agreement, ou DPA) a connu un succès important. Les CJIP tout comme les DPA sont utilisées comme une alternative aux poursuites et permettent aux personnes morales soupçonnées d’infractions financières d’opter pour une solution négociée avec le parquet plutôt que d’encourir un procès pénal. Les rapporteurs ont insisté sur la nécessité de promouvoir la CJIP car elle assure la justice transactionnelle et assure la résolution rapide des litiges transfrontaliers.

Les rapporteurs souhaitent enrichir la CJIP en l’étendant au délit de « favoritisme » et en protégeant davantage les documents et informations communiqués par la personne morale aux autorités judiciaires lors de la phase de négociation.

Les rapporteurs n’ont pas recommandé d’étendre la CJIP aux particuliers. Ils favorisent la création d’une Comparaison sur reconnaissance préalable de culpabilité (CRPC) spécifique aux infractions de corruption, sous réserve de la divulgation volontaire et de la coopération de l’individu. .

Les rapporteurs ont suggéré que les enquêtes internes menées dans le cadre d’une CJIP soient encadrées en donnant au parquet la possibilité de désigner un mandataire ad hoc en charge de l’enquête interne et en introduisant de nouveaux droits pour les personnes interpellées (droit d’être assisté d’un avocat, droit de connaître les faits qui leur sont reprochés, etc.).

Enfin, la commission propose d’offrir plus de garanties aux entreprises lors des négociations, afin d’encourager les auto-divulgations volontaires. Des exemples de garanties pourraient inclure (i) une meilleure prise en compte du degré de coopération et (ii) une réduction de l’amende selon un barème qui serait rendu public.

4. Plus de protections pour les lanceurs d’alerte

Les rapporteurs ont estimé que les risques de représailles à l’encontre des lanceurs d’alerte et le manque de soutien financier constituent des obstacles à l’utilisation efficace des canaux d’alerte.

Le rapport a souligné qu’à l’heure où la France doit transposer la directive européenne du 23 octobre 2019 sur les lanceurs d’alerte, il est essentiel d’assurer une meilleure protection des lanceurs d’alerte pour renforcer le cadre d’alerte existant. Le projet de loi de transposition qui doit être discuté en novembre prochain à l’Assemblée nationale s’inspire directement du rapport Gauvain-Marleix et reprend un grand nombre de ses propositions.

Il a été suggéré dans le rapport de créer un système plus incitatif et d’offrir une meilleure protection aux lanceurs d’alerte en modifiant les critères d’admissibilité existants.

Le critère du « désintéressement », jugé trop vague, a été demandé de supprimer. Les procédures de signalement seraient simplifiées en supprimant l’obligation actuelle de faire d’abord signaler par le lanceur d’alerte les faits répréhensibles en interne, et en autorisant plutôt les lanceurs d’alerte à contacter directement les autorités, sous réserve que des conditions spécifiques soient remplies garantissant leur anonymat et la confidentialité des documents transmis.

Une liste de représailles contre lesquelles les lanceurs d’alerte seraient protégés a été détaillée, et la création d’une sanction civile dissuasive et d’un délit de « représailles contre un lanceur d’alerte » ont été suggérées. 

Le Défenseur des droits serait chargé de se prononcer sur la bonne foi d’un lanceur d’alerte, ainsi que de surveiller le traitement des alertes.


De Sapin 2 à Sapin 3 ?

Tous ces changements proposés promettent certainement de renforcer la lutte contre la corruption en France. Je suivrai attentivement les futures discussions parlementaires sur la prochaine loi « Sapin 3 » et donnerai des conseils sur ses résultats futurs.

LE LEGISLATEUR-REGULATEUR, AMPLIFICATEUR DE RISQUE. DEUX NOUVELLES ILLUSTRATIONS ISSUES DE l’ACTUALITE. (1) LA LOI SUR LE DEVOIR DE VIGILANCE.

Le législateur-régulateur a contribué et contribue à la diffusion de ce que M. Power appelle l’image d’un monde plus risqué et l’ont amplifié. Ils amplifient la notion de responsabilité du dirigeant en cas de négligence.

Le concept d’amplification sociale du risque.

Le concept d’amplification sociale du risque suggère que les risques sont amplifiés et instrumentalisés par des institutions telles que le régulateur-législateur et les médias. Le rôle du régulateur-législateur a commencé en France avec la Loi de Sécurité Financière. Sur fond de scandales et de crise, les interventions du régulateur-législateur  ont amené les entreprises à renforcer les systèmes de contrôle interne et de gestion des risques : loi du 3 juillet 2008, ordonnance du 8 décembre 2008 ; rapport du 8 décembre 2009de l’AMF ; loi Sapin II du 9 décembre 2016 ; loi sur le devoir de vigilance du 27 mars 2027…

Les loi Sapin II du 9 décembre 2016 et loi sur le devoir de vigilance du 27 mars 2027 ont comme points communs :

  • de mettre en place de la prévention (des plans d’action) et de la communication (transparence, communication judiciarisée) ;
  • de renforcer la responsabilité des dirigeants.

En savoir plus…

Pour en savoir plus sur le concept d’amplification du risque (Kapperson et al., 1988 ; Pidgeon et al., 2003), sur les lois Sapin II et devoir de vigilance, les lois, règlements et soft-law (principe de précaution, normes) : voir « La Fonction Risk Manager. Organisation, Méthodes et positionnement. » Aubry et Dufour. Chapitre 1 Définition des notions mobilisées et contextualisation de la Fonction Risk Manager ; p.47-58.

Lien. https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

Cette semaine je vous propose deux articles relatifs à l’actualité de la loi sur le devoir de vigilance : « les litiges seront tranchés par le tribunal judicaire ». Dans quinze jours je vous proposerai un article sur le passage de la loi sapin II à la loi Sapin III : « ce que l’on sait de la future loi Sapin III. »

Devoir de vigilance : les litiges seront tranchés par le tribunal judiciaire

© Laurence Soulez

C’est finalement le tribunal judiciaire de Paris qui sera compétent pour trancher les litiges portant sur le devoir de vigilance des multinationales introduit dans le Code de commerce par la loi du 27 mars 2017. C’est en effet ce qu’a décidé la commission mixte paritaire (CMP) réunie, ce jeudi 21 octobre, pour trouver un accord sur les dispositions encore en discussion du projet de loi pour la confiance dans l’institution judiciaire.

Il s’agissait là de l’intention du gouvernement qui avait inscrit cette compétence dans son projet de loi. Mais, fin septembre, le Sénat était revenu sur cette disposition en confiant cette compétence au tribunal de commerce de Paris, réputé plus à l’écoute des arguments des entreprises que le tribunal judiciaire. Le sénateur LR Serge Babary avait fait valoir que le tribunal de commerce traitait déjà des litiges de nature économique et commerciale de dimension internationale. Au contraire, pour le garde des Sceaux, Éric Dupond-Moretti, le devoir de vigilance porte sur des sujets qui « relèvent par essence des juridictions judiciaires ».

Le 16 octobre, 26 ONG avaient signé une tribune sur Médiapart appelant les parlementaires à « ne pas brader les droits humains au tribunal de commerce ». « Les premiers contentieux portent (…) sur des allégations de graves violations du droit à l’alimentation causées par des expropriations massives ainsi que des risques de dommages environnementaux irréversibles liés à un projet pétrolier de Total en Ouganda, de déforestation et d’invasion de territoires autochtones par des fournisseurs de Casino au Brésil ou encore de contamination d’un réseau d’eau potable par une filiale de Suez au Chili », rappelaient les organisations signataires. « Confier ces contentieux à un tribunal de commerce serait un recul inexplicable et un non-sens historique », expliquaient-elles

Laurent Radisson ; journaliste ; 21 octobre 2021   

DEVOIR DE VIGILANCE : LES PARLEMENTAIRES ATTRIBUENT LA COMPÉTENCE AU TRIBUNAL JUDICIAIRE, UN SOULAGEMENT POUR LES ASSOCIATIONS

Depuis des années les affaires liées au devoir de vigilance traînent en raison d’un flou sur la compétence des tribunaux pouvant juger ces litiges. Le 21 octobre, les parlementaires ont finalement attribué cette compétence au tribunal judiciaire. Un soulagement pour les associations qui poursuivent des multinationales sur leur impacts environnementaux et sociaux sur l’ensemble de leurs chaînes de valeur.

C’est un feuilleton qui prend fin. Depuis quelques mois, une bataille fait rage dans l’hémicycle pour savoir qui du tribunal de commerce ou du tribunal judiciaire est compétent pour juger les affaires liées au devoir de vigilance. Ce dernier, voté en 2017, oblige les entreprises multinationales à assurer une activité de production respectueuse des droits humains et de l’environnement sur l’ensemble de leur chaîne d’approvisionnement. Le 21 octobre, les parlementaires, réunis en commission mixte paritaire dans le cadre de l’examen du Projet de loi pour la confiance dans l’institution judiciaire, ont finalement décidé de confier au tribunal judiciaire la compétence pour juger les affaires liées au devoir de vigilance.

« La lutte contre l’impunité des entreprises multinationales ne souffre désormais plus d’ambiguïtés !« , s’est réjoui le député socialiste Dominique Potier. « Les atteintes aux droits humains et à l’environnement par les entreprises ne pourront plus être examinées par des tribunaux de commerce mais exclusivement par un tribunal judiciaire », ajoute-t-il. Le sujet, technique, est pourtant primordial quant à l’application de cette loi dont la France est pionnière en Europe. Les associations étaient montées au front quand, le 29 septembre dernier, les sénateurs avaient, contre l’avis du gouvernement, choisi d’attribuer la compétence au tribunal de commerce.

« Une très bonne nouvelle » 

Le risque, selon elles, était de vider de sa substance le devoir de vigilance « avec une vision trop restrictive »« Les juges des tribunaux de commerce sont des commerçants élus par leurs pairs. Ils tirent leur légitimité de leur connaissance du monde des affaires alors que le devoir de vigilance concerne la protection des droits humains et environnementaux, il dépasse très largement les enjeux commerciaux », expliquait à Novethic Juliette Renaud, responsable de campagne « régulation des multinationales » des Amis de la Terre. « 

Depuis des années, le débat freine drastiquement les décisions judiciaires sur le fond des dossiers. La première affaire faisant appel au devoir de vigilance n’a par exemple toujours pas été jugée. Plusieurs ONG dont les Amis de la Terre et Survie poursuivent en effet Total concernant deux méga projets en Ouganda et en Tanzanie qui priveraient les populations riveraines de leur terre.

En décembre 2020, la Cour d’appel de Versailles a confirmé le jugement en première instance du tribunal judiciaire de Nanterre qui s’était déclaré incompétent à juger l’affaire, préférant la déléguer au tribunal de commerce. À l’inverse, le tribunal de Nanterre s’est déclaré compétent pour juger une autre action en justice visant Total non pas sur son impact sur les droits humains mais sur son inaction climatique.

Cette décision est « une très bonne nouvelle pour les affaires liées au devoir de vigilance. Notre action en justice contre Total avec quatre ONG et 14 collectivités et celle des Amis de la Terre contre les activités de Total en Ouganda pourront enfin être jugées sur le fond devant les tribunaux compétents« , s’est ainsi réjouit l’association Notre Affaire à Tous. 

Marina Fabre ; 2022 ; Novethic

LE RISQUE, VARIABLE STRATEGIQUE DE LA REFLEXION DES ENTREPRISES. UN NOUVEAU RISQUE : LE RISQUE ETHIQUE DANS SA DIMENSION GOUVERNANCE – LA MISE EN EXAMEN DU GROUPE LAFARGE pour « mise en danger de la vie d’autrui »

Mercredi 23 novembre, à la Toulouse School of Management, lors d’une table ronde sur le thème « Comptabilité, crise(s) et résilience », j’expliquais en quoi la Fonction Risk Manager (FRM) était un acteur contribuant à augmenter la capacité de résilience de l’organisation. Pour établir ce rôle qu’aujourd’hui personne ne conteste, même si beaucoup reste à faire, je suis revenue sur les étapes de l’ERM et les facteurs qui ont fait que le risque est devenu en trente ans une variable stratégique de la réflexion des entreprises.

Deux de ces facteurs sont l’élargissement du domaine du risque et son amplification depuis 2004 par le régulateur-législateur et les médias. 

COMMENT LE RISQUE EST DEVENU UNE VARIABLE STRATEGIQUE

(1) Aux risques « traditionnels » (incendie, inondation…) se sont ajoutés :

  • De nouveaux risques comme par exemple le risque éthique ou le cyber-risque ou encore les risques psycho-sociaux…
  • Des qualificatifs qui viennent préciser la nature du risque : sanitaire, environnemental…
  • Cet élargissement oblige les entreprises à faire face à des risques potentiels qui sortent du champ de compétences des experts qui n’ont ni la connaissance, ni l’expérience pour répondre à un avenir qu’ils ne connaissent pas.

(2) Le législateur-régulateur et les médias ont contribué à la diffusion de ce que M. Power appelle l’image d’un monde plus risqué et l’ont amplifié. Ils amplifient la notion de responsabilité du dirigeant en cas de négligence.

Ces évolutions ont conduit les organisations à créer depuis 2004 la FRM, fonction corporate dédiée aux risques.

Pour en savoir plus : voir « La Fonction Risk Manager. Organisation, Méthodes et positionnement. » Aubry et Dufour. Chapitre 1 Définition des notions mobilisées et contextualisation de la Fonction Risk Manager. .

Lien. https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

UN PROGRAMME SUR 6 SEMAINES

Je vous propose un tour du côté de l’actualité pour :

  • (1) (2) illustrer deux nouveaux risques auxquels les organisations doivent faire face – le risque éthique dans sa dimension gouvernance et la fraude au président – ;
  • (3) mieux connaitre un risque souvent passé sous silence – le risque de propriété intellectuelle – ;
  • (4) et (5) faire le point sur le devoir de vigilance des multinationales et découvrir ce que l’on sait de la future loi Sapin 3.
  • (6) Je terminerai cette séquence par un « bouclage » sur le rôle de la FRM dans ce nouveau contexte.
UN NOUVEAU RISQUE : LE RISQUE ETHIQUE DANS SA DIMENSION GOUVERNANCE

Pour commencer : le risque éthique dans sa dimension gouvernance / la gouvernance : respect par l’entreprise des engagements pris, transparence et ouverture aux besoins de l’environnement dans laquelle elle opère, prise en compte des parties prenantes, les actionnaires et tous les groupes ou individus qui peuvent affecter ou être affectés par la réalisation de ses objectifs.

Pour d’autres exemples plus anciens voir : 

« La Fonction Risk Manager. Organisation, Méthodes et positionnement. » Chapitre 1 Définition des notions mobilisées et contextualisation de la Fonction Risk Manager. Chapitre 3 Définition et illustration des différentes classes de risques auxquelles sont confrontés les Risk Managers.

Lien. https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

Blog : https://gestiondesrisques.net/category/risques/ethique-gouvernance/

Je vous propose deux articles très intéressants de septembre 2021 qui illustrent le risque éthique dans sa dimension gouvernance à travers la mise en examen du groupe Lafarge pour « mise en danger de la vie d’autrui » dans le cadre de ses activités en Syrie entre 2011 et 2014, et plus particulièrement des accords financiers passés avec des groupes armés.

Vous y retrouverez :

  • la présentation du risque
  • les causes de celui-ci (probabilité)
  • les conséquences de celui-ci (impact).

Le premier est un article rapide du Monde qui rappelle les faitss. Le deuxième écrit par Nathalie Belhoste. Enseignant chercheur, Grenoble École de Management (GEM) propose une analyse approfondie du risque.

Lafarge en Syrie : la Cour de cassation invalide l’annulation des poursuites pour « complicité de crimes contre l’humanité »

La plus haute juridiction de l’ordre judiciaire a également cassé la décision de la cour d’appel de maintenir la mise en examen du groupe pour « mise en danger de la vie d’autrui ».

C’est un nouveau rebondissement spectaculaire dans l’affaire hors norme sur les activités en Syrie du cimentier Lafarge : la Cour de cassation a renvoyé mardi 7 septembre devant la justice le débat sur la mise en examen du cimentier pour « complicité de crimes contre l’humanité » en Syrie, annulée en novembre 2019 par la cour d’appel de Paris.

Dans un arrêt très attendu, la plus haute juridiction de l’ordre judiciaire a invalidé la décision d’annuler ces poursuites, prononcées dans l’enquête relative aux activités du groupe en Syrie jusqu’en 2014.

Elle a aussi cassé la décision de la cour d’appel de maintenir la mise en examen du groupe pour « mise en danger de la vie d’autrui », et renvoyé ces deux questions devant la chambre de l’instruction, dans une composition différente, afin qu’elle se prononce à nouveau.

Les magistrats de cette chambre pourront ainsi décider de maintenir ou d’annuler ces poursuites contre le groupe. La Cour a, en revanche, confirmé la mise en examen du cimentier pour « financement du terrorisme ».

« La décision prise aujourd’hui par la Cour de cassation ne présume en aucun cas d’une éventuelle culpabilité de Lafarge SA », a réagi le groupe, dans une déclaration adressée à l’Agence France-Presse (AFP), assurant qu’il continuait « de coopérer pleinement avec la justice ».

 « Nous avons pris des mesures immédiates et fermes pour nous assurer que des événements similaires ne puissent plus se reproduire », a-t-il assuré, précisant que Lafarge n’exerçait « plus aucune activité en Syrie depuis plus de six ans ».

Dans cette information judiciaire, ouverte en juin 2017, Lafarge SA est soupçonné d’avoir versé en 2013 et 2014, par le truchement de sa filiale Lafarge Cement Syria (LCS), près de 13 millions d’euros à des groupes terroristes, dont l’organisation Etat islamique (EI), et à des intermédiaires, afin de maintenir l’activité d’une cimenterie en Syrie alors que le pays s’enfonçait dans la guerre.

Le groupe avait investi 680 millions d’euros dans la construction de ce site, achevé en 2010.

« En connaissance de cause »

Lafarge est également suspecté d’avoir vendu du ciment de l’usine à l’EI et d’avoir payé des intermédiaires pour s’approvisionner en matières premières auprès de factions djihadistes.

Un rapport interne commandé par LafargeHolcim, né de la fusion en 2015 du français Lafarge et du suisse Holcim, avait mis en lumière des remises de fonds de LCS à des intermédiaires pour négocier avec des « groupes armés ». Mais Lafarge SA a toujours contesté toute responsabilité dans la destination de ces versements à des organisations terroristes.

 « L’on peut être complice de crimes contre l’humanité même si l’on n’a pas l’intention de s’associer à la commission de ces crimes », a expliqué la Cour de cassation dans un communiqué. « Dans cette affaire, le versement en connaissance de cause de plusieurs millions de dollars à une organisation dont l’objet est exclusivement criminel suffit à caractériser la complicité, peu importe que l’intéressé agisse en vue de la poursuite d’une activité commerciale », a-t-elle détaillé.

« La Cour de cassation donne raison au magistrat instructeur sur deux points essentiels : en confirmant les poursuites pour financement du terrorisme et en rouvrant le débat sur la complicité de crimes contre l’humanité, qui sera maintenue compte tenu des éléments accablants du dossier », a réagi Me William Bourdon, fondateur de l’ONG Sherpa.

 « A l’échelon mondial, ces poursuites, qui déboucheront sur un procès de Lafarge et de ses dirigeants pour les crimes les plus graves, sont une première et nous rappellent l’impératif absolu que constitue le devoir du législateur de responsabiliser de gré ou de force les plus grandes entreprises de la planète », a-t-il poursuivi.

Dans son arrêt, la Cour de cassation a, par ailleurs, estimé que seule l’ONG European Center for Constitutional and Human Rights (ECCHR) pouvait se constituer partie civile, et uniquement à l’égard de l’infraction de « complicité de crimes contre l’humanité » reprochée à la société.

Sherpa et l’association Life for Paris se sont vues, pour leur part, déboutées de leur demande de se constituer partie civile.

« Sherpa reste fière d’avoir initié cette procédure. Si le rejet de notre pourvoi est singulier, il ne l’est que pour des raisons techniques, qui pourront être corrigées rapidement », a estimé l’avocat.

Le Monde avec AFP

Publié le 07 septembre 2021


Syrie : pourquoi le groupe Lafarge est-il resté si longtemps malgré la guerre ?

 

Le 7 septembre, la Cour de cassation a invalidé les annulations des poursuites pour « complicité de crimes contre l’humanité » concernant les activités du groupe Lafarge en Syrie entre 2011 et 2014, et plus particulièrement les accords financiers passés avec des groupes armés, dont Daech.

Différentes parties civiles et des ONG de lutte contre les crimes économiques étaient à l’origine de ces pourvois. Elles contestaient l’annulation par la chambre de l’instruction, en novembre 2019, de la mise en examen du groupe en tant que personne morale pour « complicité de crime contre l’humanité », prononcée l’année précédente par les juges d’instruction. Avec cette décision, la Cour de cassation renvoie à présent le dossier vers une autre chambre de l’instruction afin qu’elle se prononce à nouveau.

Cette décision était attendue au-delà de l’affaire Lafarge. En effet, elle pourrait influencer de prochaines instructions menées contre des multinationales, comme dans le cas de la récente affaire du groupe viticole Castel, dont une filiale est soupçonnée d’avoir financé des groupes armés en Centrafrique. Dans ces cas, les processus de mise en accusation restent néanmoins toujours délicats car la responsabilité de l’entreprise en tant que telle reste difficile à prouver par rapport aux responsabilités individuelles à cause, notamment, de la complexité organisationnelle.

Ainsi, notre recherche sur le cas Lafarge montre que semble s’être développé ce que nous appelons une « myopie organisationnelle ». Celle-ci aurait conduit le cimentier à poursuivre ses activités en Syrie jusqu’en 2014, alors que des entreprises comme Total ou Air Liquide quittaient le pays dès le début de la guerre civile en 2011.

Cette « myopie organisationnelle » repose sur plusieurs éléments centraux, dont une volonté sans faille de protéger les investissements sur place. Toutefois, les logiques économiques restent insuffisantes pour expliquer que la production n’ait pas été arrêtée. Une interprétation défaillante du danger entre le siège et la filiale ainsi que des décisions entraînant une dépendance forte à un nombre restreint d’acteurs locaux apparaissent aussi comme des facteurs de cette « myopie organisationnelle ».

Une lente montée en pression

La chronologie du cas est à ce sujet éclairante. Dans une première phase, entre mi-2011 et juillet 2012, l’entreprise ne va pas réellement voir l’intérêt de partir, malgré les tensions. Quelques mois plus tôt, en octobre 2010, Lafarge inaugurait la plus grande cimenterie de la région moyenne orientale dans le nord de la Syrie, à environ 60 kilomètres de la frontière turque. Le coût du projet est de 680 millions d’euros, ce qui représente pour l’époque un très gros investissement pour l’entreprise.

Localisation de la cimenterie de Lafarge en Syrie.

 Au départ, les salariés sont très satisfaits de cette implantation, notamment dans une région où les opportunités d’emploi sont très rares. Les premières contestations de début 2011 ne sont localisées que dans l’est de la Syrie, assez loin de l’usine et ce n’est que le 1er décembre 2011, le Haut-Commissariat des Nations unies aux droits de l’homme déclare la Syrie en état de guerre civile.

En mars 2012, la France décide de rappeler son ambassadeur en Syrie. L’entreprise décide alors de rapatrier ses expatriés, mais aucune décision n’est prise quant à un arrêt des activités sur place. L’entreprise mise alors sur un dialogue et des négociations avec les parties prenantes, notamment différents groupes armés présents dans la région.

Un premier intermédiaire, un Syrien possédant une participation dans l’usine, est choisi pour assurer les discussions et les transactions. L’entreprise décide, par ces mesures, d’assurer la continuité de ses activités et la sécurité de ses salariés, mais dans une zone qui commence à se tourner vers une économie de guerre basée sur le racket.

Certes, dans cette zone de gouvernance limitée (c’est-à-dire où l’autorité étatique n’était que partiellement reconnue), il était très difficile, à l’époque, de distinguer la création de groupes armés issus de la lutte anti-Damas (kurdes ou de l’Armée syrienne libre) d’autres groupes aux obédiences diverses et volatiles, attirés uniquement par l’appât du gain que représente la seule multinationale présente localement. Néanmoins, la décision de Lafarge n’était déjà pas en accord avec leur code de conduite de l’époque.

Une autre décision organisationnelle peut permettre de mieux comprendre le contexte de la prise de décision. À cette même période de l’été 2012, le directeur de la filiale est envoyé de Damas au Caire d’où il gérera les activités. Si cette mesure s’explique aisément pour sa sécurité personnelle dont doit légalement répondre l’entreprise, cette décision va entraîner une gestion à distance dont les travaux académiques en sciences de gestion ont déjà montré les grandes limites en temps de paix, à savoir la compréhension des problèmes locaux et la transmission de l’information qui se révèlent souvent partielles.

Un excellent réseau d’informateurs

L’entreprise, et notamment son comité de sûreté composé de cadres dirigeants et du directeur général adjoint, entérine ainsi sa décision de rester sur place malgré les premières alertes et le conflit civil.

Mais à partir de l’été 2012, une nouvelle période plus tendue se profile. Plusieurs salariés sont kidnappés. Lafarge paye une rançon mais pas à chaque fois. À partir de ce moment, le comité de sûreté analyse, en novembre 2012, la situation de la façon suivante : « Nous ne pouvons en aucun cas garantir que nous soyons capables de nous opposer avec succès à une action d’enlèvement ». Il existe une « menace directe et nominative contre Lafarge » et « la présence des extrémistes du Front al-Nosra constitue une menace supplémentaire ».

Cette dernière référence montre que les dirigeants du siège semblent informés de la dangerosité de certains groupes par rapport à d’autres, mais aussi avoir conscience des dangers encourus par leurs salariés sur place.

Une grande partie de la compréhension de ce cas (avec les données actuelles) porte alors sur cette décision de rester dans un pays en guerre, avec des groupes armés qui ne répondent plus forcément qu’à une logique économique et de racket mais à des logiques politiques et idéologiques fortes. La présence dans la zone du Front al-Nosra constituait une première alerte par sa proximité notoirement connue avec Al-Qaida.

En outre, plusieurs e-mails montrent que Lafarge avait mis en place depuis le début des événements un excellent réseau d’informateurs. À tel point que des rencontres entre le directeur de la sécurité du groupe et la direction générale de la Sécurité extérieure (DGSE) auraient amené à des échanges d’informations, Lafarge restant un point d’observation absolument stratégique (par la localisation de l’usine dans une zone frontalière et étant une des très rares grandes multinationales restant dans le pays).

Pour légitimer le fait de rester sur place, certains responsables de Lafarge mettent en avant le fait que le Quai d’Orsay aurait demandé à l’entreprise de rester, étant donné les informations qui pouvaient être prodiguées par l’entreprise. Une version contestée par le ministère des Affaires étrangères. L’enquête est toujours en cours.

Daech entre en jeu

Entre fin 2012, début 2013, un nouveau groupe apparaît dans la région en provenance d’Irak. Il s’agit de Daech. En mars 2013, Raqqa (à 87 kilomètres au sud de la cimenterie) est prise par différents groupes islamistes, dont le Front Al-Nosra, qui prête allégeance à Al-Qaida et tombe donc sous le coup des sanctions du Conseil de Sécurité́ de l’ONU.

En octobre 2013, le Conseil européen confirme les sanctions à l’encontre de certaines entités terroristes, dont le Front Al-Nosra, Al-Qaida et Daech. À ce moment-là, Lafarge sait donc que tout contact avec ces groupes les expose à des sanctions internationales (et plus à un simple délit de corruption).

Au même moment, le directeur de la sécurité de l’usine demande son retour au siège se disant recherché par le régime, les groupes rebelles et Daech. Devant cette situation, Lafarge recrute un autre directeur de la sécurité, un Syrien non qualifié dans ce domaine, qui va interagir avec ces nouveaux acteurs locaux.

Les premiers paiements à Daech semblent intervenir à partir de novembre 2013, toujours par le même intermédiaire et avec l’intervention d’un second. Au-delà des paiements, c’est également des achats de pétrole et la vente de ciment au groupe terroriste qui seraient en cause.

La dernière période qui s’ouvre en 2014 va marquer un point de non-retour. En mars 2014, Daech envahit la ville de Manbji où résident la plupart des salariés de Lafarge et leurs familles (sur demande de Lafarge depuis 2012). Ces derniers poussent leurs familles à partir, sans l’aide réelle de l’entreprise.

En parallèle, d’un point de vue organisationnel, en mai 2014, le directeur de la filiale syrienne en poste en Égypte, est remplacé par un nouveau directeur. Ces changements nécessitent un temps d’ajustement, comme le montrent des travaux académiques, et sont souvent source de déperdition d’informations lors du transfert de connaissances entre les deux expatriés.

Dans une période normale, ces problèmes ne sont pas insurmontables, mais dans un contexte aussi conflictuel, la compréhension des enjeux géopolitiques locaux et internationaux était cruciale. Or, il semble à la lecture des témoignages du second dirigeant de la filiale et des comptes rendus d’une rencontre de celui-ci avec l’ambassade de France en Jordanie que cette compréhension ait été limitée.

Pendant l’été 2014, plusieurs attaques de Daech sont perpétrées contre des camions de l’usine. Le 15 août 2014, une résolution des Nations unies interdit toute relation financière avec les groupes terroristes présents en Syrie. Au même moment, de nouvelles sommes auraient été versées à Daech. Sur le site, la production est suspendue quelques jours puis reprend jusqu’à mi-septembre 2014. À cette date, Daech envahit l’usine sans que Lafarge ait mis en place un plan d’évacuation d’après les ex-salariés. Les locaux resteront occupés jusqu’à fin 2015, puis repris par la coalition.

Transfert de connaissance altéré

Il ressort de cette brève chronologie séquentielle qu’il serait beaucoup trop simpliste de réduire cette succession de décisions à une logique strictement économique (même si elle est bien entendu présente). Des logiques organisationnelles semblent avoir également joué. Tout d’abord, le groupe a pu tirer de la confiance d’une certaine « culture du risque » puisqu’il a déjà été présent dans d’autres zones sensibles, notamment en Afrique. Certaines pratiques, comme recours rapide à des intermédiaires pour réaliser les transactions financières, semblent en témoigner.

Par ailleurs, le choix des expatriés aux postes clés (direction de la filiale et de la sécurité notamment) et leur capacité à comprendre le contexte, surtout à distance, ainsi que leur sensibilité à l’éthique, ont pu aussi peser sur la décision de rester. En outre, le transfert de connaissance a pu être altéré dans la relation siège/filiale par les changements de personnel à ces mêmes postes clés, dans un lieu de conflit et où la situation politique, les groupes armés et les allégeances pouvaient changer de mois en mois.

Enfin, le respect de ses propres règles de responsabilité sociétale des entreprises (RSE) et de ses engagements internationaux (l’entreprise avait signé les principes du Global Compact des Nations unies) apparaît comme un dernier élément important : est-ce que des garde-fous internes avaient été mis en place à différents niveaux pour évaluer la dangerosité ou la légalité des actions, comme annoncé ? Si oui, alors ceux-ci ne semblent pas avoir correctement fonctionné.

Il faut donc retenir que, dans cette affaire, les logiques internes de l’entreprise doivent être aussi observées à la lumière de la culture organisationnelle et pas uniquement au travers de la rationalité économique. Elles doivent surtout être repensées quand l’entreprise se retrouve en zone de conflit.

2 septembre 2021,

Nathalie Belhoste. Enseignant chercheur, Grenoble École de Management (GEM)

TELETRAVAIL ET RISQUES (2)

ILLUSTRATION 2 / TELETRAVAIL ET HARCELEMENT MANAGERIAL

Pour continuer l’illustration d’un deuxième risque lié au télétravail non encadré, je vous propose une analyse intéressante de Caroline Diard concernant le harcèlement managérial vu sous l’angle du risque et de sa nécessaire gestion.

📌 Cet article donne les éléments pour identifier ce risque de manière structurée en permettant :

  • de le rattacher à une typologie ; il s’agit d’un RISQUE TRANSVERSE-RESSOURCES HUMAINES – Santé Sécurité Risque Sanitaire / Psychosociaux
  • de lister ses causes (pourquoi survient-il ?)
  • de lister ses conséquences (quels impacts ?)

Cette identification du risque constitue l’étape 2 de la démarche de gestion des risques.

📌 Cet article met également en évidence le cadre juridique qui l’accompagne ; celui-ci a joué-joue-jouera un rôle d’amplificateur.

Rappel : qu’est-ce qu’un amplificateur de Risques ?

Comme le suggère le concept d’amplification sociale du risque, des facteurs sociaux, institutionnels et psychologiques influencent les perceptions du risque et les comportements à travers un réseau de canaux de communication qui les structurent et les transmettent socialement (Kaperson et al, 1988) ; les risques sont amplifiés et instrumentalisés par des institutions telles que le régulateur-législateur et les médias (Pidgeon et al, 2003).

Le rôle du régulateur-législateur a commencé en France avec la Loi de Sécurité Financière. L’analyse de la période 2008-2018 conduit à constater un renforcement institutionnel de l’obligation de prudence et de vérification. Sur fond de scandales et de crise, les interventions du régulateur-législateur amènent les entreprises à renforcer les systèmes de contrôle interne et de gestion des risques : loi du 3 juillet 2008, ordonnance du 8 décembre 2008 ; rapport du 8 décembre 2009 de l’AMF ; loi Sapin II du 9 décembre 2016…

📌 Pour approfondir les « classes » de risques, l’étape 2 d’identification, les étapes de la démarche de gestion des risques et le régulateur-législateur comme amplificateur de risques, voir « La Fonction Risk Manager. Organisation, Méthodes et Positionnement. » Editions Gereso. C.Aubry et N.Dufour.

https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

Télétravail et harcèlement managérial : une situation dangereuse

Durant la pandémie de Covid-19, les entreprises ont eu massivement recours au télétravail. La distanciation du collectif au travail n’écarte pas le risque de harcèlement moral par le manager. Au titre de l’obligation générale de sécurité, l’employeur doit rester vigilant.

Pendant le confinement, 95% des organisations ont eu recours au télétravail pour les collaborateurs éligibles (enquête flash ANDRH, avril 2020). Le télétravail a été imposé à un quart de la population active pendant la période de confinement. En Ile-de-France, 41% des salariés ont été concernés (sondage Odoxa du 9 avril 2020).

Il s’agit d’une forme de télétravail contraint, à temps plein. C’est une situation inédite qui a révélé l’agilité des entreprises et la capacité d’adaptation des salariés. A la sortie du confinement 64 % des salariés ont affirmé vouloir continuer à travailler à distance.

Même les secteurs habituellement moins ouverts au travail à distance vont poursuivre l’expérience. C’est le cas du constructeur automobile PSA.

Cet engouement pour le télétravail lié à un contexte d’urgence sanitaire ne doit pas cependant faire oublier les risques liés à cette forme d’organisation du travail.

La vigilance du manager est donc impérative pour éviter l’isolement, la porosité de la frontière vie privée-vie professionnelle, la surcharge de travail et l’hyper-connectivité.

L’employeur devra être particulièrement vigilant dans le cadre de son obligation générale de sécurité (articles L4121-1 et L4121-2 du Code du travail).

Le risque de harcèlement moral par le manager

Un des risques identifiables est celui lié à la pression inhabituelle exercée par les managers. La distanciation du collectif de travail peut contribuer à isoler le télétravailleur qui sera parfois dans l’incapacité de refuser les sollicitations répétées et insistantes du manager, des nouvelles tâches, une surcharge de travail.

Le harcèlement moral par le manager est donc un risque qui peut ne pas avoir été anticipé.

De nombreux contentieux pourraient naître. Une décision récente de la Cour de cassation nous interpelle à ce sujet. En effet, dans un arrêt du 19 février 2019 (n°18-83268), la chambre criminelle de la Cour de cassation a cassé une décision de relaxe du chef de harcèlement moral, en date du 25 janvier 2018 aux motifs que les juges du fond n’avaient pas répondu aux arguments de la salariée victime de ce harcèlement allégué, dont celui consistant à soutenir qu’elle « avait été isolée des autres salariés en raison de la demande de son employeur de travailler chez elle en télétravail, en contradiction avec sa fiche de poste ».

Si le salarié en télétravail est victime de l’un ou plusieurs des agissements constitutifs de harcèlement moral, il pourra saisir le Conseil de prud’hommes et invoquer une situation de harcèlement moral afin de se voir octroyer des dommages-intérêts en réparation du préjudice qu’il a subi.

Des dérives amplifiées par le télétravail

Le salarié en télétravail ne devra donc pas être volontairement isolé ou mis à l’écart, devra  toujours se voir fournir du travail, pouvoir être en lien avec sa hiérarchie, bénéficier du soutien nécessaire à l’accomplissement de ses missions, ne pas être surchargé et ne pas être incité à une hyper-connectivité. En effet, de telles conditions de travail pourraient laisser supposer une forme de harcèlement managérial. Le profil de certains managers peut conduire à des dérives.  Les pervers narcissiques auxquels dès 1998, Marie-France Hirigoyen faisait référence (« Le harcèlement moral. La violence perverse au quotidien ») pourraient user de manœuvre pour conserver leur pouvoir, leur poste et masquer ses incompétences pendant cette période de travail à distance. Le manager harceleur et pervers narcissique met en place des mécanismes divers :

  • culpabilisation,
  • critique et dévalorisation,
  • report de sa responsabilité sur ses collaborateurs,
  • communication floue,
  • changement fréquent d’opinions,
  • mensonges

En cas de télétravail, les possibilités de déviance sont amplifiées. L’impossibilité d’échanger en face à face, la distance avec les collègues et le n+2 pourraient contribuer au développement de pratiques perverse de management.

L’article L 1152-1 du Code du travail relatif au harcèlement, permet de se prémunir des pervers narcissiques puisqu’ « aucun salarié ne doit subir des agissements répétés de harcèlement moral qui ont pour objet ou pour effet une dégradation des conditions de travail susceptible de porter atteinte à ses droits et à sa dignité, d’altérer sa santé physique ou mentale ou de compromettre son avenir professionnel ».

À titre d’exemple, dans le cadre du télétravail contraint, on parlera de harcèlement si un manager déviant venait à dévaloriser un collaborateur devant ses collègues lors de réunions de groupe par visio-conférence. L’utilisation quasi exclusive comme outil de communication des mails peut conduire les managers à envoyer des messages dont le contenu pourrait être insistant, insultant ou dégradant pour un collaborateur. La fréquence des sollicitations peut aussi s’accélérer dans le cas du travail à distance. Le télétravail peut aussi conduire à des situations dans lesquelles un collaborateur est appelé par le manager en journée, le soir et le weekend, et ce afin de lui demander des livrables dans des délais non tenables.

Télétravail et santé

Plusieurs enquêtes révèlent que la santé psychologique des télétravailleurs s’est dégradée. L’étude de perception CSA pour Malakoff Humanis, montre que 30 % des télétravailleurs confinés estiment leur santé psychologique dégradée. Un sondage Opinionway montre quant à lui, que 44 % des collaborateurs sont anxieux et perçoivent une détresse psychologique.

Enfin, une enquête de la CGT sur les conditions de travail et d’exercice de la responsabilité professionnelle durant le confinement, en date du 4 mai 2020, révèle que 35 % des télétravailleurs se sont victime d’une anxiété inhabituelle.

Il convient donc d’attirer l’attention des employeurs qui n’auraient pas répondu aux obligations de sécurité et de protection des télétravailleurs en laissant s’installer une situation de harcèlement et qui engagent lourdement leur responsabilité, tant au plan civil que pénal (sanction pouvant aller jusqu’à deux ans d’emprisonnement et 30 000 euros d’amende). Une vigilance toute particulière devra être apportée aux comportements managériaux déviants.

04/06/2020

Caroline Diard

Docteur en sciences de gestion de l’institut Mines-Télécom Business School, Caroline Diard est enseignant-chercheur en management des RH et Droit.