Archives pour la catégorie réglementation et amplification du risque
LE LEGISLATEUR-REGULATEUR, AMPLIFICATEUR DE RISQUE. DEUX NOUVELLES ILLUSTRATIONS ISSUES DE L’ACTUALITE. (3) QUE SAIT-ON DE LA LOI SAPIN III ?
Cinq ans après la naissance de la loi Sapin2, la France donne son feu vert à ce qui ressemble à une nouvelle loi « Sapin 3 ». Alors que Sapin 2 a marqué un véritable tournant dans la lutte contre la corruption en France en introduisant des changements significatifs, en créant l’Agence Français Anticorruption (AFA), et en ajoutant une dimension préventive qui n’existait pas ailleurs : l’obligation pour certaines entreprises privées de mettre en place des mesures anti-corruption, la France propose une refonte sérieuse de sa législation.
Un nouveau projet de loi promet un nouveau souffle à la lutte contre la corruption en France.
Dans leur rapport rendu le 7 juillet 2021, les députés Raphaël Gauvain et Olivier Marleix, corapporteurs de la Commission des lois de l’Assemblée nationale chargée de l’évaluation de la loi Sapin 2, dressent un bilan positif de la loi Sapin II, mais notent que la France n’a pas progressé dans les indices internationaux de perception de la corruption depuis 2015. Ils ont relevé qu’en 2020, la France était classée 23e sur l’IPC de Transparency International, au même niveau qu’en 2015.
Ils font donc 50 propositions pour donner un nouveau souffle à la loi Sapin 2 pour renforcer la lutte contre la corruption en France. Le projet de loi n°4586 est directement inspiré du rapport.
Certains des changements proposés sont certainement intéressants pour les responsables de la conformité et les praticiens de la lutte contre la corruption. Voici quelques extraits pertinents
1. Modification du périmètre de l’AFA et création d’une nouvelle Autorité
Alors que la performance de l’AFA a été saluée dans le rapport pour avoir permis « d’installer et de crédibiliser le dispositif issu de la loi Sapin 2, tant du point de vue des entreprises que de nos partenaires étrangers », le rapport considère que la système devrait être encore renforcé.
Le rapport propose de redéfinir et de recentrer les missions de l’AFA sur la coordination administrative. L’AFA serait désormais principalement chargée de centraliser et de partager les informations pour prévenir et détecter la corruption. Le rôle de l’AFA en tant que conseiller stratégique serait aboli.
Il est proposé de transférer les fonctions de conseil et de contrôle de l’AFA sur les programmes de conformité anti-corruption à la Haute Autorité pour la transparence de la vie publique , ou la Haute Autorité pour la transparence de la vie publique en anglais (HATVP) – une agence actuellement chargée d’identifier et prévenir les conflits d’intérêts potentiels entre les fonctionnaires français.
Le rapport suggère de créer une agence administrative indépendante unique pour les questions d’intégrité.
2. Sapin 2 s’appliquera à plus d’entités
Parmi les autres points à améliorer, le périmètre des entités soumises aux obligations de prévention et de détection prévues à l’article 17 de la loi Sapin 2 serait élargi. Actuellement, la loi permet aux « petites » filiales françaises (moins de 500 salariés, moins de 100 millions d’euros de chiffre d’affaires) de « grands » groupes étrangers de ne pas être soumises à l’article 17 de la loi Sapin 2.
Le rapport recommande de supprimer la condition relative à l’implantation en France du siège social de la société mère, afin de soumettre aux obligations prévues à l’article 17 les petites filiales de grands groupes étrangers établies en France, dès que la société mère dépasse les seuils prévus par la loi Sapin 2 (plus de 500 salariés et au moins 100 millions d’euros de chiffre d’affaires).
Cela ouvrirait la porte à une égalité de traitement entre les petites filiales de grands groupes implantées en France, que la maison mère soit ou non établie en France.
Par ailleurs, les députés notent que l’article 3 de la loi Sapin 2 prévoit que la compétence de l’Agence française de lutte contre la corruption s’étend aux personnes publiques, mais la loi ne précise pas, la nature des obligations qui lui incombent ni ne prévoit de toute sanction en cas d’insuffisance ou de non-respect de ces obligations.
Par conséquent, ils jugent nécessaire de créer des obligations de conformité adaptées aux administrations publiques, qui seraient adaptées à leur taille et aux risques auxquels elles sont exposées.
3. En savoir plus sur la Convention judiciaire d’intérêt public (CJIP)
Depuis sa mise en œuvre par la loi Sapin II, la CJIP (l’équivalent français du Deferred Prosecution Agreement, ou DPA) a connu un succès important. Les CJIP tout comme les DPA sont utilisées comme une alternative aux poursuites et permettent aux personnes morales soupçonnées d’infractions financières d’opter pour une solution négociée avec le parquet plutôt que d’encourir un procès pénal. Les rapporteurs ont insisté sur la nécessité de promouvoir la CJIP car elle assure la justice transactionnelle et assure la résolution rapide des litiges transfrontaliers.
Les rapporteurs souhaitent enrichir la CJIP en l’étendant au délit de « favoritisme » et en protégeant davantage les documents et informations communiqués par la personne morale aux autorités judiciaires lors de la phase de négociation.
Les rapporteurs n’ont pas recommandé d’étendre la CJIP aux particuliers. Ils favorisent la création d’une Comparaison sur reconnaissance préalable de culpabilité (CRPC) spécifique aux infractions de corruption, sous réserve de la divulgation volontaire et de la coopération de l’individu. .
Les rapporteurs ont suggéré que les enquêtes internes menées dans le cadre d’une CJIP soient encadrées en donnant au parquet la possibilité de désigner un mandataire ad hoc en charge de l’enquête interne et en introduisant de nouveaux droits pour les personnes interpellées (droit d’être assisté d’un avocat, droit de connaître les faits qui leur sont reprochés, etc.).
Enfin, la commission propose d’offrir plus de garanties aux entreprises lors des négociations, afin d’encourager les auto-divulgations volontaires. Des exemples de garanties pourraient inclure (i) une meilleure prise en compte du degré de coopération et (ii) une réduction de l’amende selon un barème qui serait rendu public.
4. Plus de protections pour les lanceurs d’alerte
Les rapporteurs ont estimé que les risques de représailles à l’encontre des lanceurs d’alerte et le manque de soutien financier constituent des obstacles à l’utilisation efficace des canaux d’alerte.
Le rapport a souligné qu’à l’heure où la France doit transposer la directive européenne du 23 octobre 2019 sur les lanceurs d’alerte, il est essentiel d’assurer une meilleure protection des lanceurs d’alerte pour renforcer le cadre d’alerte existant. Le projet de loi de transposition qui doit être discuté en novembre prochain à l’Assemblée nationale s’inspire directement du rapport Gauvain-Marleix et reprend un grand nombre de ses propositions.
Il a été suggéré dans le rapport de créer un système plus incitatif et d’offrir une meilleure protection aux lanceurs d’alerte en modifiant les critères d’admissibilité existants.
Le critère du « désintéressement », jugé trop vague, a été demandé de supprimer. Les procédures de signalement seraient simplifiées en supprimant l’obligation actuelle de faire d’abord signaler par le lanceur d’alerte les faits répréhensibles en interne, et en autorisant plutôt les lanceurs d’alerte à contacter directement les autorités, sous réserve que des conditions spécifiques soient remplies garantissant leur anonymat et la confidentialité des documents transmis.
Une liste de représailles contre lesquelles les lanceurs d’alerte seraient protégés a été détaillée, et la création d’une sanction civile dissuasive et d’un délit de « représailles contre un lanceur d’alerte » ont été suggérées.
Le Défenseur des droits serait chargé de se prononcer sur la bonne foi d’un lanceur d’alerte, ainsi que de surveiller le traitement des alertes.
De Sapin 2 à Sapin 3 ?
Tous ces changements proposés promettent certainement de renforcer la lutte contre la corruption en France. Je suivrai attentivement les futures discussions parlementaires sur la prochaine loi « Sapin 3 » et donnerai des conseils sur ses résultats futurs.
RECAPITULATIF BLOG FEVRIER 2022
LE LEGISLATEUR-REGULATEUR, AMPLIFICATEUR DE RISQUE. DEUX NOUVELLES ILLUSTRATIONS ISSUES DE l’ACTUALITE. (1) LA LOI SUR LE DEVOIR DE VIGILANCE.
Le législateur-régulateur a contribué et contribue à la diffusion de ce que M. Power appelle l’image d’un monde plus risqué et l’ont amplifié. Ils amplifient la notion de responsabilité du dirigeant en cas de négligence.
Le concept d’amplification sociale du risque.
Le concept d’amplification sociale du risque suggère que les risques sont amplifiés et instrumentalisés par des institutions telles que le régulateur-législateur et les médias. Le rôle du régulateur-législateur a commencé en France avec la Loi de Sécurité Financière. Sur fond de scandales et de crise, les interventions du régulateur-législateur ont amené les entreprises à renforcer les systèmes de contrôle interne et de gestion des risques : loi du 3 juillet 2008, ordonnance du 8 décembre 2008 ; rapport du 8 décembre 2009de l’AMF ; loi Sapin II du 9 décembre 2016 ; loi sur le devoir de vigilance du 27 mars 2027…
Les loi Sapin II du 9 décembre 2016 et loi sur le devoir de vigilance du 27 mars 2027 ont comme points communs :
- de mettre en place de la prévention (des plans d’action) et de la communication (transparence, communication judiciarisée) ;
- de renforcer la responsabilité des dirigeants.
En savoir plus…
Pour en savoir plus sur le concept d’amplification du risque (Kapperson et al., 1988 ; Pidgeon et al., 2003), sur les lois Sapin II et devoir de vigilance, les lois, règlements et soft-law (principe de précaution, normes) : voir « La Fonction Risk Manager. Organisation, Méthodes et positionnement. » Aubry et Dufour. Chapitre 1 Définition des notions mobilisées et contextualisation de la Fonction Risk Manager ; p.47-58.
Lien. https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html
Cette semaine je vous propose deux articles relatifs à l’actualité de la loi sur le devoir de vigilance : « les litiges seront tranchés par le tribunal judicaire ». Dans quinze jours je vous proposerai un article sur le passage de la loi sapin II à la loi Sapin III : « ce que l’on sait de la future loi Sapin III. »
Devoir de vigilance : les litiges seront tranchés par le tribunal judiciaire
C’est finalement le tribunal judiciaire de Paris qui sera compétent pour trancher les litiges portant sur le devoir de vigilance des multinationales introduit dans le Code de commerce par la loi du 27 mars 2017. C’est en effet ce qu’a décidé la commission mixte paritaire (CMP) réunie, ce jeudi 21 octobre, pour trouver un accord sur les dispositions encore en discussion du projet de loi pour la confiance dans l’institution judiciaire.
Il s’agissait là de l’intention du gouvernement qui avait inscrit cette compétence dans son projet de loi. Mais, fin septembre, le Sénat était revenu sur cette disposition en confiant cette compétence au tribunal de commerce de Paris, réputé plus à l’écoute des arguments des entreprises que le tribunal judiciaire. Le sénateur LR Serge Babary avait fait valoir que le tribunal de commerce traitait déjà des litiges de nature économique et commerciale de dimension internationale. Au contraire, pour le garde des Sceaux, Éric Dupond-Moretti, le devoir de vigilance porte sur des sujets qui « relèvent par essence des juridictions judiciaires ».
Le 16 octobre, 26 ONG avaient signé une tribune sur Médiapart appelant les parlementaires à « ne pas brader les droits humains au tribunal de commerce ». « Les premiers contentieux portent (…) sur des allégations de graves violations du droit à l’alimentation causées par des expropriations massives ainsi que des risques de dommages environnementaux irréversibles liés à un projet pétrolier de Total en Ouganda, de déforestation et d’invasion de territoires autochtones par des fournisseurs de Casino au Brésil ou encore de contamination d’un réseau d’eau potable par une filiale de Suez au Chili », rappelaient les organisations signataires. « Confier ces contentieux à un tribunal de commerce serait un recul inexplicable et un non-sens historique », expliquaient-elles
Laurent Radisson ; journaliste ; 21 octobre 2021
DEVOIR DE VIGILANCE : LES PARLEMENTAIRES ATTRIBUENT LA COMPÉTENCE AU TRIBUNAL JUDICIAIRE, UN SOULAGEMENT POUR LES ASSOCIATIONS
Depuis des années les affaires liées au devoir de vigilance traînent en raison d’un flou sur la compétence des tribunaux pouvant juger ces litiges. Le 21 octobre, les parlementaires ont finalement attribué cette compétence au tribunal judiciaire. Un soulagement pour les associations qui poursuivent des multinationales sur leur impacts environnementaux et sociaux sur l’ensemble de leurs chaînes de valeur.
C’est un feuilleton qui prend fin. Depuis quelques mois, une bataille fait rage dans l’hémicycle pour savoir qui du tribunal de commerce ou du tribunal judiciaire est compétent pour juger les affaires liées au devoir de vigilance. Ce dernier, voté en 2017, oblige les entreprises multinationales à assurer une activité de production respectueuse des droits humains et de l’environnement sur l’ensemble de leur chaîne d’approvisionnement. Le 21 octobre, les parlementaires, réunis en commission mixte paritaire dans le cadre de l’examen du Projet de loi pour la confiance dans l’institution judiciaire, ont finalement décidé de confier au tribunal judiciaire la compétence pour juger les affaires liées au devoir de vigilance.
« La lutte contre l’impunité des entreprises multinationales ne souffre désormais plus d’ambiguïtés !« , s’est réjoui le député socialiste Dominique Potier. « Les atteintes aux droits humains et à l’environnement par les entreprises ne pourront plus être examinées par des tribunaux de commerce mais exclusivement par un tribunal judiciaire », ajoute-t-il. Le sujet, technique, est pourtant primordial quant à l’application de cette loi dont la France est pionnière en Europe. Les associations étaient montées au front quand, le 29 septembre dernier, les sénateurs avaient, contre l’avis du gouvernement, choisi d’attribuer la compétence au tribunal de commerce.
« Une très bonne nouvelle »
Le risque, selon elles, était de vider de sa substance le devoir de vigilance « avec une vision trop restrictive ». « Les juges des tribunaux de commerce sont des commerçants élus par leurs pairs. Ils tirent leur légitimité de leur connaissance du monde des affaires alors que le devoir de vigilance concerne la protection des droits humains et environnementaux, il dépasse très largement les enjeux commerciaux », expliquait à Novethic Juliette Renaud, responsable de campagne « régulation des multinationales » des Amis de la Terre. «
Depuis des années, le débat freine drastiquement les décisions judiciaires sur le fond des dossiers. La première affaire faisant appel au devoir de vigilance n’a par exemple toujours pas été jugée. Plusieurs ONG dont les Amis de la Terre et Survie poursuivent en effet Total concernant deux méga projets en Ouganda et en Tanzanie qui priveraient les populations riveraines de leur terre.
En décembre 2020, la Cour d’appel de Versailles a confirmé le jugement en première instance du tribunal judiciaire de Nanterre qui s’était déclaré incompétent à juger l’affaire, préférant la déléguer au tribunal de commerce. À l’inverse, le tribunal de Nanterre s’est déclaré compétent pour juger une autre action en justice visant Total non pas sur son impact sur les droits humains mais sur son inaction climatique.
Cette décision est « une très bonne nouvelle pour les affaires liées au devoir de vigilance. Notre action en justice contre Total avec quatre ONG et 14 collectivités et celle des Amis de la Terre contre les activités de Total en Ouganda pourront enfin être jugées sur le fond devant les tribunaux compétents« , s’est ainsi réjouit l’association Notre Affaire à Tous.
Marina Fabre ; 2022 ; Novethic
LE RISQUE, VARIABLE STRATEGIQUE DE LA REFLEXION DES ENTREPRISES. UN NOUVEAU RISQUE : LE RISQUE ETHIQUE DANS SA DIMENSION GOUVERNANCE – LA MISE EN EXAMEN DU GROUPE LAFARGE pour « mise en danger de la vie d’autrui »
Mercredi 23 novembre, à la Toulouse School of Management, lors d’une table ronde sur le thème « Comptabilité, crise(s) et résilience », j’expliquais en quoi la Fonction Risk Manager (FRM) était un acteur contribuant à augmenter la capacité de résilience de l’organisation. Pour établir ce rôle qu’aujourd’hui personne ne conteste, même si beaucoup reste à faire, je suis revenue sur les étapes de l’ERM et les facteurs qui ont fait que le risque est devenu en trente ans une variable stratégique de la réflexion des entreprises.
Deux de ces facteurs sont l’élargissement du domaine du risque et son amplification depuis 2004 par le régulateur-législateur et les médias.
COMMENT LE RISQUE EST DEVENU UNE VARIABLE STRATEGIQUE
(1) Aux risques « traditionnels » (incendie, inondation…) se sont ajoutés :
- De nouveaux risques comme par exemple le risque éthique ou le cyber-risque ou encore les risques psycho-sociaux…
- Des qualificatifs qui viennent préciser la nature du risque : sanitaire, environnemental…
- Cet élargissement oblige les entreprises à faire face à des risques potentiels qui sortent du champ de compétences des experts qui n’ont ni la connaissance, ni l’expérience pour répondre à un avenir qu’ils ne connaissent pas.
(2) Le législateur-régulateur et les médias ont contribué à la diffusion de ce que M. Power appelle l’image d’un monde plus risqué et l’ont amplifié. Ils amplifient la notion de responsabilité du dirigeant en cas de négligence.
Ces évolutions ont conduit les organisations à créer depuis 2004 la FRM, fonction corporate dédiée aux risques.
Pour en savoir plus : voir « La Fonction Risk Manager. Organisation, Méthodes et positionnement. » Aubry et Dufour. Chapitre 1 Définition des notions mobilisées et contextualisation de la Fonction Risk Manager. .
Lien. https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html
UN PROGRAMME SUR 6 SEMAINES
Je vous propose un tour du côté de l’actualité pour :
- (1) (2) illustrer deux nouveaux risques auxquels les organisations doivent faire face – le risque éthique dans sa dimension gouvernance et la fraude au président – ;
- (3) mieux connaitre un risque souvent passé sous silence – le risque de propriété intellectuelle – ;
- (4) et (5) faire le point sur le devoir de vigilance des multinationales et découvrir ce que l’on sait de la future loi Sapin 3.
- (6) Je terminerai cette séquence par un « bouclage » sur le rôle de la FRM dans ce nouveau contexte.
UN NOUVEAU RISQUE : LE RISQUE ETHIQUE DANS SA DIMENSION GOUVERNANCE
Pour commencer : le risque éthique dans sa dimension gouvernance / la gouvernance : respect par l’entreprise des engagements pris, transparence et ouverture aux besoins de l’environnement dans laquelle elle opère, prise en compte des parties prenantes, les actionnaires et tous les groupes ou individus qui peuvent affecter ou être affectés par la réalisation de ses objectifs.
Pour d’autres exemples plus anciens voir :
« La Fonction Risk Manager. Organisation, Méthodes et positionnement. » Chapitre 1 Définition des notions mobilisées et contextualisation de la Fonction Risk Manager. Chapitre 3 Définition et illustration des différentes classes de risques auxquelles sont confrontés les Risk Managers.
Lien. https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html
Blog : https://gestiondesrisques.net/category/risques/ethique-gouvernance/
Je vous propose deux articles très intéressants de septembre 2021 qui illustrent le risque éthique dans sa dimension gouvernance à travers la mise en examen du groupe Lafarge pour « mise en danger de la vie d’autrui » dans le cadre de ses activités en Syrie entre 2011 et 2014, et plus particulièrement des accords financiers passés avec des groupes armés.
Vous y retrouverez :
- la présentation du risque
- les causes de celui-ci (probabilité)
- les conséquences de celui-ci (impact).
Le premier est un article rapide du Monde qui rappelle les faitss. Le deuxième écrit par Nathalie Belhoste. Enseignant chercheur, Grenoble École de Management (GEM) propose une analyse approfondie du risque.
Lafarge en Syrie : la Cour de cassation invalide l’annulation des poursuites pour « complicité de crimes contre l’humanité »
La plus haute juridiction de l’ordre judiciaire a également cassé la décision de la cour d’appel de maintenir la mise en examen du groupe pour « mise en danger de la vie d’autrui ».
C’est un nouveau rebondissement spectaculaire dans l’affaire hors norme sur les activités en Syrie du cimentier Lafarge : la Cour de cassation a renvoyé mardi 7 septembre devant la justice le débat sur la mise en examen du cimentier pour « complicité de crimes contre l’humanité » en Syrie, annulée en novembre 2019 par la cour d’appel de Paris.
Dans un arrêt très attendu, la plus haute juridiction de l’ordre judiciaire a invalidé la décision d’annuler ces poursuites, prononcées dans l’enquête relative aux activités du groupe en Syrie jusqu’en 2014.
Elle a aussi cassé la décision de la cour d’appel de maintenir la mise en examen du groupe pour « mise en danger de la vie d’autrui », et renvoyé ces deux questions devant la chambre de l’instruction, dans une composition différente, afin qu’elle se prononce à nouveau.
Les magistrats de cette chambre pourront ainsi décider de maintenir ou d’annuler ces poursuites contre le groupe. La Cour a, en revanche, confirmé la mise en examen du cimentier pour « financement du terrorisme ».
« La décision prise aujourd’hui par la Cour de cassation ne présume en aucun cas d’une éventuelle culpabilité de Lafarge SA », a réagi le groupe, dans une déclaration adressée à l’Agence France-Presse (AFP), assurant qu’il continuait « de coopérer pleinement avec la justice ».
« Nous avons pris des mesures immédiates et fermes pour nous assurer que des événements similaires ne puissent plus se reproduire », a-t-il assuré, précisant que Lafarge n’exerçait « plus aucune activité en Syrie depuis plus de six ans ».
Dans cette information judiciaire, ouverte en juin 2017, Lafarge SA est soupçonné d’avoir versé en 2013 et 2014, par le truchement de sa filiale Lafarge Cement Syria (LCS), près de 13 millions d’euros à des groupes terroristes, dont l’organisation Etat islamique (EI), et à des intermédiaires, afin de maintenir l’activité d’une cimenterie en Syrie alors que le pays s’enfonçait dans la guerre.
Le groupe avait investi 680 millions d’euros dans la construction de ce site, achevé en 2010.
« En connaissance de cause »
Lafarge est également suspecté d’avoir vendu du ciment de l’usine à l’EI et d’avoir payé des intermédiaires pour s’approvisionner en matières premières auprès de factions djihadistes.
Un rapport interne commandé par LafargeHolcim, né de la fusion en 2015 du français Lafarge et du suisse Holcim, avait mis en lumière des remises de fonds de LCS à des intermédiaires pour négocier avec des « groupes armés ». Mais Lafarge SA a toujours contesté toute responsabilité dans la destination de ces versements à des organisations terroristes.
« L’on peut être complice de crimes contre l’humanité même si l’on n’a pas l’intention de s’associer à la commission de ces crimes », a expliqué la Cour de cassation dans un communiqué. « Dans cette affaire, le versement en connaissance de cause de plusieurs millions de dollars à une organisation dont l’objet est exclusivement criminel suffit à caractériser la complicité, peu importe que l’intéressé agisse en vue de la poursuite d’une activité commerciale », a-t-elle détaillé.
« La Cour de cassation donne raison au magistrat instructeur sur deux points essentiels : en confirmant les poursuites pour financement du terrorisme et en rouvrant le débat sur la complicité de crimes contre l’humanité, qui sera maintenue compte tenu des éléments accablants du dossier », a réagi Me William Bourdon, fondateur de l’ONG Sherpa.
« A l’échelon mondial, ces poursuites, qui déboucheront sur un procès de Lafarge et de ses dirigeants pour les crimes les plus graves, sont une première et nous rappellent l’impératif absolu que constitue le devoir du législateur de responsabiliser de gré ou de force les plus grandes entreprises de la planète », a-t-il poursuivi.
Dans son arrêt, la Cour de cassation a, par ailleurs, estimé que seule l’ONG European Center for Constitutional and Human Rights (ECCHR) pouvait se constituer partie civile, et uniquement à l’égard de l’infraction de « complicité de crimes contre l’humanité » reprochée à la société.
Sherpa et l’association Life for Paris se sont vues, pour leur part, déboutées de leur demande de se constituer partie civile.
« Sherpa reste fière d’avoir initié cette procédure. Si le rejet de notre pourvoi est singulier, il ne l’est que pour des raisons techniques, qui pourront être corrigées rapidement », a estimé l’avocat.
Le Monde avec AFP
Publié le 07 septembre 2021
Syrie : pourquoi le groupe Lafarge est-il resté si longtemps malgré la guerre ?
Le 7 septembre, la Cour de cassation a invalidé les annulations des poursuites pour « complicité de crimes contre l’humanité » concernant les activités du groupe Lafarge en Syrie entre 2011 et 2014, et plus particulièrement les accords financiers passés avec des groupes armés, dont Daech.
Différentes parties civiles et des ONG de lutte contre les crimes économiques étaient à l’origine de ces pourvois. Elles contestaient l’annulation par la chambre de l’instruction, en novembre 2019, de la mise en examen du groupe en tant que personne morale pour « complicité de crime contre l’humanité », prononcée l’année précédente par les juges d’instruction. Avec cette décision, la Cour de cassation renvoie à présent le dossier vers une autre chambre de l’instruction afin qu’elle se prononce à nouveau.
Cette décision était attendue au-delà de l’affaire Lafarge. En effet, elle pourrait influencer de prochaines instructions menées contre des multinationales, comme dans le cas de la récente affaire du groupe viticole Castel, dont une filiale est soupçonnée d’avoir financé des groupes armés en Centrafrique. Dans ces cas, les processus de mise en accusation restent néanmoins toujours délicats car la responsabilité de l’entreprise en tant que telle reste difficile à prouver par rapport aux responsabilités individuelles à cause, notamment, de la complexité organisationnelle.
Ainsi, notre recherche sur le cas Lafarge montre que semble s’être développé ce que nous appelons une « myopie organisationnelle ». Celle-ci aurait conduit le cimentier à poursuivre ses activités en Syrie jusqu’en 2014, alors que des entreprises comme Total ou Air Liquide quittaient le pays dès le début de la guerre civile en 2011.
Cette « myopie organisationnelle » repose sur plusieurs éléments centraux, dont une volonté sans faille de protéger les investissements sur place. Toutefois, les logiques économiques restent insuffisantes pour expliquer que la production n’ait pas été arrêtée. Une interprétation défaillante du danger entre le siège et la filiale ainsi que des décisions entraînant une dépendance forte à un nombre restreint d’acteurs locaux apparaissent aussi comme des facteurs de cette « myopie organisationnelle ».
Une lente montée en pression
La chronologie du cas est à ce sujet éclairante. Dans une première phase, entre mi-2011 et juillet 2012, l’entreprise ne va pas réellement voir l’intérêt de partir, malgré les tensions. Quelques mois plus tôt, en octobre 2010, Lafarge inaugurait la plus grande cimenterie de la région moyenne orientale dans le nord de la Syrie, à environ 60 kilomètres de la frontière turque. Le coût du projet est de 680 millions d’euros, ce qui représente pour l’époque un très gros investissement pour l’entreprise.
Localisation de la cimenterie de Lafarge en Syrie.
Au départ, les salariés sont très satisfaits de cette implantation, notamment dans une région où les opportunités d’emploi sont très rares. Les premières contestations de début 2011 ne sont localisées que dans l’est de la Syrie, assez loin de l’usine et ce n’est que le 1er décembre 2011, le Haut-Commissariat des Nations unies aux droits de l’homme déclare la Syrie en état de guerre civile.
En mars 2012, la France décide de rappeler son ambassadeur en Syrie. L’entreprise décide alors de rapatrier ses expatriés, mais aucune décision n’est prise quant à un arrêt des activités sur place. L’entreprise mise alors sur un dialogue et des négociations avec les parties prenantes, notamment différents groupes armés présents dans la région.
Un premier intermédiaire, un Syrien possédant une participation dans l’usine, est choisi pour assurer les discussions et les transactions. L’entreprise décide, par ces mesures, d’assurer la continuité de ses activités et la sécurité de ses salariés, mais dans une zone qui commence à se tourner vers une économie de guerre basée sur le racket.
Certes, dans cette zone de gouvernance limitée (c’est-à-dire où l’autorité étatique n’était que partiellement reconnue), il était très difficile, à l’époque, de distinguer la création de groupes armés issus de la lutte anti-Damas (kurdes ou de l’Armée syrienne libre) d’autres groupes aux obédiences diverses et volatiles, attirés uniquement par l’appât du gain que représente la seule multinationale présente localement. Néanmoins, la décision de Lafarge n’était déjà pas en accord avec leur code de conduite de l’époque.
Une autre décision organisationnelle peut permettre de mieux comprendre le contexte de la prise de décision. À cette même période de l’été 2012, le directeur de la filiale est envoyé de Damas au Caire d’où il gérera les activités. Si cette mesure s’explique aisément pour sa sécurité personnelle dont doit légalement répondre l’entreprise, cette décision va entraîner une gestion à distance dont les travaux académiques en sciences de gestion ont déjà montré les grandes limites en temps de paix, à savoir la compréhension des problèmes locaux et la transmission de l’information qui se révèlent souvent partielles.
Un excellent réseau d’informateurs
L’entreprise, et notamment son comité de sûreté composé de cadres dirigeants et du directeur général adjoint, entérine ainsi sa décision de rester sur place malgré les premières alertes et le conflit civil.
Mais à partir de l’été 2012, une nouvelle période plus tendue se profile. Plusieurs salariés sont kidnappés. Lafarge paye une rançon mais pas à chaque fois. À partir de ce moment, le comité de sûreté analyse, en novembre 2012, la situation de la façon suivante : « Nous ne pouvons en aucun cas garantir que nous soyons capables de nous opposer avec succès à une action d’enlèvement ». Il existe une « menace directe et nominative contre Lafarge » et « la présence des extrémistes du Front al-Nosra constitue une menace supplémentaire ».
Cette dernière référence montre que les dirigeants du siège semblent informés de la dangerosité de certains groupes par rapport à d’autres, mais aussi avoir conscience des dangers encourus par leurs salariés sur place.
Une grande partie de la compréhension de ce cas (avec les données actuelles) porte alors sur cette décision de rester dans un pays en guerre, avec des groupes armés qui ne répondent plus forcément qu’à une logique économique et de racket mais à des logiques politiques et idéologiques fortes. La présence dans la zone du Front al-Nosra constituait une première alerte par sa proximité notoirement connue avec Al-Qaida.
En outre, plusieurs e-mails montrent que Lafarge avait mis en place depuis le début des événements un excellent réseau d’informateurs. À tel point que des rencontres entre le directeur de la sécurité du groupe et la direction générale de la Sécurité extérieure (DGSE) auraient amené à des échanges d’informations, Lafarge restant un point d’observation absolument stratégique (par la localisation de l’usine dans une zone frontalière et étant une des très rares grandes multinationales restant dans le pays).
Pour légitimer le fait de rester sur place, certains responsables de Lafarge mettent en avant le fait que le Quai d’Orsay aurait demandé à l’entreprise de rester, étant donné les informations qui pouvaient être prodiguées par l’entreprise. Une version contestée par le ministère des Affaires étrangères. L’enquête est toujours en cours.
Daech entre en jeu
Entre fin 2012, début 2013, un nouveau groupe apparaît dans la région en provenance d’Irak. Il s’agit de Daech. En mars 2013, Raqqa (à 87 kilomètres au sud de la cimenterie) est prise par différents groupes islamistes, dont le Front Al-Nosra, qui prête allégeance à Al-Qaida et tombe donc sous le coup des sanctions du Conseil de Sécurité́ de l’ONU.
En octobre 2013, le Conseil européen confirme les sanctions à l’encontre de certaines entités terroristes, dont le Front Al-Nosra, Al-Qaida et Daech. À ce moment-là, Lafarge sait donc que tout contact avec ces groupes les expose à des sanctions internationales (et plus à un simple délit de corruption).
Au même moment, le directeur de la sécurité de l’usine demande son retour au siège se disant recherché par le régime, les groupes rebelles et Daech. Devant cette situation, Lafarge recrute un autre directeur de la sécurité, un Syrien non qualifié dans ce domaine, qui va interagir avec ces nouveaux acteurs locaux.
Les premiers paiements à Daech semblent intervenir à partir de novembre 2013, toujours par le même intermédiaire et avec l’intervention d’un second. Au-delà des paiements, c’est également des achats de pétrole et la vente de ciment au groupe terroriste qui seraient en cause.
La dernière période qui s’ouvre en 2014 va marquer un point de non-retour. En mars 2014, Daech envahit la ville de Manbji où résident la plupart des salariés de Lafarge et leurs familles (sur demande de Lafarge depuis 2012). Ces derniers poussent leurs familles à partir, sans l’aide réelle de l’entreprise.
En parallèle, d’un point de vue organisationnel, en mai 2014, le directeur de la filiale syrienne en poste en Égypte, est remplacé par un nouveau directeur. Ces changements nécessitent un temps d’ajustement, comme le montrent des travaux académiques, et sont souvent source de déperdition d’informations lors du transfert de connaissances entre les deux expatriés.
Dans une période normale, ces problèmes ne sont pas insurmontables, mais dans un contexte aussi conflictuel, la compréhension des enjeux géopolitiques locaux et internationaux était cruciale. Or, il semble à la lecture des témoignages du second dirigeant de la filiale et des comptes rendus d’une rencontre de celui-ci avec l’ambassade de France en Jordanie que cette compréhension ait été limitée.
Pendant l’été 2014, plusieurs attaques de Daech sont perpétrées contre des camions de l’usine. Le 15 août 2014, une résolution des Nations unies interdit toute relation financière avec les groupes terroristes présents en Syrie. Au même moment, de nouvelles sommes auraient été versées à Daech. Sur le site, la production est suspendue quelques jours puis reprend jusqu’à mi-septembre 2014. À cette date, Daech envahit l’usine sans que Lafarge ait mis en place un plan d’évacuation d’après les ex-salariés. Les locaux resteront occupés jusqu’à fin 2015, puis repris par la coalition.
Transfert de connaissance altéré
Il ressort de cette brève chronologie séquentielle qu’il serait beaucoup trop simpliste de réduire cette succession de décisions à une logique strictement économique (même si elle est bien entendu présente). Des logiques organisationnelles semblent avoir également joué. Tout d’abord, le groupe a pu tirer de la confiance d’une certaine « culture du risque » puisqu’il a déjà été présent dans d’autres zones sensibles, notamment en Afrique. Certaines pratiques, comme recours rapide à des intermédiaires pour réaliser les transactions financières, semblent en témoigner.
Par ailleurs, le choix des expatriés aux postes clés (direction de la filiale et de la sécurité notamment) et leur capacité à comprendre le contexte, surtout à distance, ainsi que leur sensibilité à l’éthique, ont pu aussi peser sur la décision de rester. En outre, le transfert de connaissance a pu être altéré dans la relation siège/filiale par les changements de personnel à ces mêmes postes clés, dans un lieu de conflit et où la situation politique, les groupes armés et les allégeances pouvaient changer de mois en mois.
Enfin, le respect de ses propres règles de responsabilité sociétale des entreprises (RSE) et de ses engagements internationaux (l’entreprise avait signé les principes du Global Compact des Nations unies) apparaît comme un dernier élément important : est-ce que des garde-fous internes avaient été mis en place à différents niveaux pour évaluer la dangerosité ou la légalité des actions, comme annoncé ? Si oui, alors ceux-ci ne semblent pas avoir correctement fonctionné.
Il faut donc retenir que, dans cette affaire, les logiques internes de l’entreprise doivent être aussi observées à la lumière de la culture organisationnelle et pas uniquement au travers de la rationalité économique. Elles doivent surtout être repensées quand l’entreprise se retrouve en zone de conflit.
2 septembre 2021,
Nathalie Belhoste. Enseignant chercheur, Grenoble École de Management (GEM)
TELETRAVAIL ET RISQUES (2)
ILLUSTRATION 2 / TELETRAVAIL ET HARCELEMENT MANAGERIAL
Pour continuer l’illustration d’un deuxième risque lié au télétravail non encadré, je vous propose une analyse intéressante de Caroline Diard concernant le harcèlement managérial vu sous l’angle du risque et de sa nécessaire gestion.
📌 Cet article donne les éléments pour identifier ce risque de manière structurée en permettant :
- de le rattacher à une typologie ; il s’agit d’un RISQUE TRANSVERSE-RESSOURCES HUMAINES – Santé Sécurité Risque Sanitaire / Psychosociaux
- de lister ses causes (pourquoi survient-il ?)
- de lister ses conséquences (quels impacts ?)
Cette identification du risque constitue l’étape 2 de la démarche de gestion des risques.
📌 Cet article met également en évidence le cadre juridique qui l’accompagne ; celui-ci a joué-joue-jouera un rôle d’amplificateur.
Rappel : qu’est-ce qu’un amplificateur de Risques ?
Comme le suggère le concept d’amplification sociale du risque, des facteurs sociaux, institutionnels et psychologiques influencent les perceptions du risque et les comportements à travers un réseau de canaux de communication qui les structurent et les transmettent socialement (Kaperson et al, 1988) ; les risques sont amplifiés et instrumentalisés par des institutions telles que le régulateur-législateur et les médias (Pidgeon et al, 2003).
Le rôle du régulateur-législateur a commencé en France avec la Loi de Sécurité Financière. L’analyse de la période 2008-2018 conduit à constater un renforcement institutionnel de l’obligation de prudence et de vérification. Sur fond de scandales et de crise, les interventions du régulateur-législateur amènent les entreprises à renforcer les systèmes de contrôle interne et de gestion des risques : loi du 3 juillet 2008, ordonnance du 8 décembre 2008 ; rapport du 8 décembre 2009 de l’AMF ; loi Sapin II du 9 décembre 2016…
📌 Pour approfondir les « classes » de risques, l’étape 2 d’identification, les étapes de la démarche de gestion des risques et le régulateur-législateur comme amplificateur de risques, voir « La Fonction Risk Manager. Organisation, Méthodes et Positionnement. » Editions Gereso. C.Aubry et N.Dufour.
https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html
Télétravail et harcèlement managérial : une situation dangereuse
Durant la pandémie de Covid-19, les entreprises ont eu massivement recours au télétravail. La distanciation du collectif au travail n’écarte pas le risque de harcèlement moral par le manager. Au titre de l’obligation générale de sécurité, l’employeur doit rester vigilant.
Pendant le confinement, 95% des organisations ont eu recours au télétravail pour les collaborateurs éligibles (enquête flash ANDRH, avril 2020). Le télétravail a été imposé à un quart de la population active pendant la période de confinement. En Ile-de-France, 41% des salariés ont été concernés (sondage Odoxa du 9 avril 2020).
Il s’agit d’une forme de télétravail contraint, à temps plein. C’est une situation inédite qui a révélé l’agilité des entreprises et la capacité d’adaptation des salariés. A la sortie du confinement 64 % des salariés ont affirmé vouloir continuer à travailler à distance.
Même les secteurs habituellement moins ouverts au travail à distance vont poursuivre l’expérience. C’est le cas du constructeur automobile PSA.
Cet engouement pour le télétravail lié à un contexte d’urgence sanitaire ne doit pas cependant faire oublier les risques liés à cette forme d’organisation du travail.
La vigilance du manager est donc impérative pour éviter l’isolement, la porosité de la frontière vie privée-vie professionnelle, la surcharge de travail et l’hyper-connectivité.
L’employeur devra être particulièrement vigilant dans le cadre de son obligation générale de sécurité (articles L4121-1 et L4121-2 du Code du travail).
Le risque de harcèlement moral par le manager
Un des risques identifiables est celui lié à la pression inhabituelle exercée par les managers. La distanciation du collectif de travail peut contribuer à isoler le télétravailleur qui sera parfois dans l’incapacité de refuser les sollicitations répétées et insistantes du manager, des nouvelles tâches, une surcharge de travail.
Le harcèlement moral par le manager est donc un risque qui peut ne pas avoir été anticipé.
De nombreux contentieux pourraient naître. Une décision récente de la Cour de cassation nous interpelle à ce sujet. En effet, dans un arrêt du 19 février 2019 (n°18-83268), la chambre criminelle de la Cour de cassation a cassé une décision de relaxe du chef de harcèlement moral, en date du 25 janvier 2018 aux motifs que les juges du fond n’avaient pas répondu aux arguments de la salariée victime de ce harcèlement allégué, dont celui consistant à soutenir qu’elle « avait été isolée des autres salariés en raison de la demande de son employeur de travailler chez elle en télétravail, en contradiction avec sa fiche de poste ».
Si le salarié en télétravail est victime de l’un ou plusieurs des agissements constitutifs de harcèlement moral, il pourra saisir le Conseil de prud’hommes et invoquer une situation de harcèlement moral afin de se voir octroyer des dommages-intérêts en réparation du préjudice qu’il a subi.
Des dérives amplifiées par le télétravail
Le salarié en télétravail ne devra donc pas être volontairement isolé ou mis à l’écart, devra toujours se voir fournir du travail, pouvoir être en lien avec sa hiérarchie, bénéficier du soutien nécessaire à l’accomplissement de ses missions, ne pas être surchargé et ne pas être incité à une hyper-connectivité. En effet, de telles conditions de travail pourraient laisser supposer une forme de harcèlement managérial. Le profil de certains managers peut conduire à des dérives. Les pervers narcissiques auxquels dès 1998, Marie-France Hirigoyen faisait référence (« Le harcèlement moral. La violence perverse au quotidien ») pourraient user de manœuvre pour conserver leur pouvoir, leur poste et masquer ses incompétences pendant cette période de travail à distance. Le manager harceleur et pervers narcissique met en place des mécanismes divers :
- culpabilisation,
- critique et dévalorisation,
- report de sa responsabilité sur ses collaborateurs,
- communication floue,
- changement fréquent d’opinions,
- mensonges
En cas de télétravail, les possibilités de déviance sont amplifiées. L’impossibilité d’échanger en face à face, la distance avec les collègues et le n+2 pourraient contribuer au développement de pratiques perverse de management.
L’article L 1152-1 du Code du travail relatif au harcèlement, permet de se prémunir des pervers narcissiques puisqu’ « aucun salarié ne doit subir des agissements répétés de harcèlement moral qui ont pour objet ou pour effet une dégradation des conditions de travail susceptible de porter atteinte à ses droits et à sa dignité, d’altérer sa santé physique ou mentale ou de compromettre son avenir professionnel ».
À titre d’exemple, dans le cadre du télétravail contraint, on parlera de harcèlement si un manager déviant venait à dévaloriser un collaborateur devant ses collègues lors de réunions de groupe par visio-conférence. L’utilisation quasi exclusive comme outil de communication des mails peut conduire les managers à envoyer des messages dont le contenu pourrait être insistant, insultant ou dégradant pour un collaborateur. La fréquence des sollicitations peut aussi s’accélérer dans le cas du travail à distance. Le télétravail peut aussi conduire à des situations dans lesquelles un collaborateur est appelé par le manager en journée, le soir et le weekend, et ce afin de lui demander des livrables dans des délais non tenables.
Télétravail et santé
Plusieurs enquêtes révèlent que la santé psychologique des télétravailleurs s’est dégradée. L’étude de perception CSA pour Malakoff Humanis, montre que 30 % des télétravailleurs confinés estiment leur santé psychologique dégradée. Un sondage Opinionway montre quant à lui, que 44 % des collaborateurs sont anxieux et perçoivent une détresse psychologique.
Enfin, une enquête de la CGT sur les conditions de travail et d’exercice de la responsabilité professionnelle durant le confinement, en date du 4 mai 2020, révèle que 35 % des télétravailleurs se sont victime d’une anxiété inhabituelle.
Il convient donc d’attirer l’attention des employeurs qui n’auraient pas répondu aux obligations de sécurité et de protection des télétravailleurs en laissant s’installer une situation de harcèlement et qui engagent lourdement leur responsabilité, tant au plan civil que pénal (sanction pouvant aller jusqu’à deux ans d’emprisonnement et 30 000 euros d’amende). Une vigilance toute particulière devra être apportée aux comportements managériaux déviants.
04/06/2020
Caroline Diard
Docteur en sciences de gestion de l’institut Mines-Télécom Business School, Caroline Diard est enseignant-chercheur en management des RH et Droit.
Le risque devenu variable stratégique de la réflexion organisationnelle des entreprises sous l’effet de cinq facteurs. Illustration sur le risque climatique.
Après avoir défini le risque climatique (blog 28 mai), nous avons illustré le 3ème facteur d’élargissement du domaine du risque (difficultés à assurer le risque climatique) (blog 4 juin), nous illustrons le 5ème facteur : le rôle du régulateur-législateur (https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html) et les condamnations qui commencent à arriver.
APRÈS LA CONDAMNATION DE SHELL AUX PAYS-BAS, LES LITIGES CLIMATIQUES DEVIENNENT UN VRAI RISQUE POUR LES ENTREPRISES
Le 26 mai dernier, Shell a été condamné par un tribunal néerlandais à rehausser ses ambitions climatiques. Cette condamnation encourage les ONG écologistes du monde entier à suivre cette voie judiciaire pour faire bouger les majors pétrolières. Un risque que tous les secteurs identifiés comme polluants prennent désormais au sérieux.
C’est une « immense victoire », un « jugement historique ». Les réactions se multiplient depuis le 26 mai, date à laquelle un tribunal néerlandais a condamné Shell à réduire ses émissions de CO2 de 45 % d’ici 2030 par rapport à 2019. « Cette décision va dans le sens de l’histoire qui veut que les sociétés s’engagent, mais pas à la légère », décrypte l’avocat en droit de l’environnement, Arnaud Gossement. Les juges néerlandais ont considéré que les engagements de Shell ne sont pas assez ambitieux pour répondre aux objectifs de l’Accord de Paris. Seuls des États avaient été condamnés pour leur manque d’ambition climatique. Le premier ayant justement été les Pays-Bas attaqués par l’ONG Urgenda.
« Les contentieux contre les entreprises sont encore plus puissants que ceux visant les États« , estime Arnaud Gossement. « Pour elles, la réaction est immédiate. Elles doivent faire face à une baisse des cours en Bourse, à la méfiance des investisseurs, au risque juridique… La pression est plus forte et plus rapide« , analyse l’avocat. Pour l’instant, les entreprises sont relativement épargnées par les recours juridiques sur le climat. Sur les 1 824 litiges climatiques portés devant les tribunaux depuis les années 1990, seul un quart concerne les entreprises, selon la base de données Grantham Institute on Climate Change and the Environnement de la London School of Economics.
Cette condamnation montre la voie à suivre
On retrouve ainsi la plainte de l’ONG ClientEarth contre la centrale électrique polonaise Belchatow. La poursuite du groupe agroalimentaire Casino par plusieurs ONG, dont des Françaises, pour son rôle dans la déforestation et l’accaparement de terres des peuples autochtones en Amérique du Sud. La plainte de Greenpeace demandant à l’entreprise PGE Polska Grupa Energetyczna de stopper ses investissements dans les énergies fossiles en vertu de la protection de l’environnement. Dans le détail, 32 plaintes concernent des producteurs d’énergies fossiles. Mais selon plusieurs experts, la condamnation de Shell devrait faire exploser ce type de recours contre les entreprises et particulièrement les majors pétrolières.
Cette décision « ouvre la voie sur le terrain de la responsabilité climatique des multinationales pétrolières », croient ainsi Sébastien Mabile et François de Cambiaie. Les deux avocats sont en charge du dossier qui oppose un collectif d’associations et de collectivités, dont Notre affaire à tous, à Total. Ces dernières ont assigné en justice le pétrolier pour qu’il rehausse ses ambitions climatiques en s’appuyant sur son devoir de vigilance, une obligation faite aux entreprises de prévenir les risques sociaux, environnementaux et de gouvernance. « Ce litige est très similaire à celui de Shell. Un tel jugement aura des répercussions devant les tribunaux français« , croient les deux avocats.
Pression sur les secteurs carbo-intensifs
« Partout, les gens sont prêts à poursuivre les compagnies pétrolières dans leur propre pays, en suivant notre exemple », estime même Roger Cox, avocat de l’association Milieudefensie. Et pour cause, Paul Mougeolle, de Notre Affaire à tous, prévient : « Si les entreprises ne prennent pas acte de ce jugement, nous multiplierons les moyens judiciaires pour faire reconnaître cette décision en France ». Le but, pour les associations, est surtout de pousser les multinationales à revoir leurs ambitions à la hausse, sans pour autant attendre le jugement du tribunal, en exerçant notamment une pression médiatique et réputationnelle.
Et ce phénomène pourrait s’étendre à d’autres secteurs. Un dirigeant d’une compagnie aérienne a ainsi déclaré au Financial Times que la décision de Shell était prise au sérieux. « En privé, les hauts responsables des industries polluantes admettent que la pression pour accélérer les réductions d’émissions augmente », écrit le journal britannique. Mais attention à ce que les actions judiciaires ne deviennent pas le seul levier dans la lutte climatique, prévient Arnaud Gossement. « Le temps judiciaire, très lent, n’est pas celui du changement climatique », argue-t-il.
Marina Fabre
Risque de corruption
Cartographie du risque de corruption : 10 erreurs à éviter. Actualités : arrêt de la Cour d’appel / extension de la loi Sapin II ?
LIRE ou RELIRE sur le Blog
Dans les rubriques corruption et/ou Loi Sapin II ou en recherchant par mots clés ou dans les archives mensuelles par date, vous pourrez lire ou relire les articles suivants.
En juillet 2020, un article sur la cartographie des risques de corruption.
En février 2020, les principaux résultats de l’enquête sur le niveau de maturité des dispositions anticorruption en entreprise réalisée par l’Autorité Française Anticorruption (AFA) lançait.
En octobre 2020, un article intitulé « Trois ans après, où en sont les entreprises ? »
Mardi mai 2021 : Bolloré, affaire en cours / le rapport d’activité de l’AFA 2000.
Loi Sapin II et rôle du régulateur comme amplificateur de risques dans La Fonction Risk Manager. Organisation. Méthodes et Positionnement.
https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html
Aujourd’hui, je vous propose deux documents :
- 10 erreurs à éviter pour vos cartographies de risques / article qui fait suite à celui sur les cartographies
- un arrêt d’appel à suivre : « extension » de la Loi Sapin II ?
10 erreurs à éviter dans la cartographie de vos risques de corruption
Le challenge consiste à construire une démarche à la fois efficace et conforme aux exigences légales et aux recommandations du régulateur (« si si… c’est possible… »). Vous ne souhaitez bien évidemment pas que s’applique à vous le constat que formulait l’Agence Française Anticorruption dans son dernier rapport annuel : « d’autres mesures, comme la cartographie des risques de corruption ou l’évaluation des tiers, pourtant déterminantes pour la robustesse du dispositif anticorruption, pâtissent encore trop souvent d’approximations méthodologiques ».
Forts des quelques dizaines de cartographies des risques de corruption réalisées ou auditées, nous nous proposons de partager avec vous notre liste non-exhaustive de 10 de ces erreurs ou « approximations méthodologiques » :
- Couverture partielle des activités de l’entreprise : la cartographie doit être réalisée aux bornes du groupe, sur l’ensemble de ses activités, en prenant en compte les zones géographiques d’implantation.
- Inventaire de risques trop globaux : les risques doivent prendre la forme de scénarios précis et adaptés aux spécificités de l’entreprise. Le « risque de corruption active » peut au mieux être considéré comme une catégorie ou une typologie de risque mais pas comme un risque élémentaire.
- Inventaire des risques trop génériques : il est bien sûr tentant de s’appuyer sur des catalogues de risques standards trouvés sur internet ou dans certains forums professionnels. Ces catalogues peuvent aider et guider dans l’identification des risques, cependant la démarche ne saurait se résumer à une sélection « tick in the box », au risque de rater l’exception, le risque spécifique qui est souvent le plus redoutable car méconnu du plus grand nombre.
- Méthodologie d’évaluation des risques inadaptée : le risque de corruption présente un certain nombre de spécificités qui doivent être capturées dans la méthodologie mise en œuvre et notamment les facteurs aggravants (géographie, secteur d’activité, tiers, etc.), les méthodes se limitant à une cotation globale probabilité / impact ne permettent pas d’appréhender de manière pertinente ce risque.
- Implication insuffisante du top management : que ce soit pour la validation de la méthodologie à mettre en œuvre, des personnes à impliquer, du niveau de risque acceptable, de la cartographie ou des plans d’actions associés, son implication est clé et renvoie à l’engagement de l’instance dirigeante.
- Démarche mise en œuvre en chambre par le compliance officer assisté d’un ou deux autres experts (risk manager, contrôleur interne, consultant…) : leurs points de vue sont bien sûr utiles et nécessaires, mais seuls les acteurs opérationnels peuvent avoir une vision précise et concrète des zones d’exposition de l’entreprise.
- Démarche déployée de manière hétérogène dans les entités du groupe : la difficulté d’une approche déployée aux bornes du groupe réside dans la mobilisation d’un grand nombre d’acteurs dont les compétences, l’expérience et la culture sont hétérogènes, ce qui peut facilement conduire à une cartographie également hétérogène.
- Manque de traçabilité des travaux : toutes les étapes de la démarche doivent être matérialisées et documentées. La démarche doit être efficace, conforme et auditable.
- Une approche en silo par rapport aux autres piliers de la loi Sapin 2 : la cartographie est un élément central doit alimenter les autres piliers et également être nourrie par ces derniers au travers, par exemple, des résultats des contrôles, des résultats du dispositif d’alerte, des évaluations de tiers, etc.
- Une approche limitée à la réalisation d’une « photo » : la cartographie ne saurait être un objectif final, ce n’est qu’un outil au service du management des risques ainsi identifiés. Elle doit conduire à l’action, à la recherche de mesures correctives pour prévenir et / ou maîtriser les risques en question.
Une « extension » de la Loi Sapin II avec un arrêt d’appel à suivre
Arrêt (d’appel) intéressant et un peu inquiétant qui valide une sanction que même la loi #sapin2 n’a pas envisagé : une sanction disciplinaire non pas pour corruption mais pour ne pas avoir effectué l’évaluation d’un tiers à risque… Cela va aider les #complianceofficer à déployer ce pilier !
La Cour d’Appel d’Angers juge que le licenciement du Directeur Commercial qui ne s’inquiète pas de la due diligence devant être réalisée avant la signature d’un contrat repose sur une cause réelle et sérieuse (11 Mars 2021 – n° 19/00128).
Le Directeur Commercial d’une entreprise organise un rendez-vous de signature d’un contrat commercial international avec un distributeur basé aux Emirats Arabes Unis, alors que les vérifications et validations, notamment anticorruption, n’avaient pas été effectuées.
La Cour juge qu’il s’agit d’une faute de nature à conférer une cause réelle et sérieuse au licenciement compte-tenu du niveau de responsabilité du Directeur Commercial et de la nature particulière de l’activité de l’entreprise.
Il ne s’agit toutefois pas d’une faute grave en l’absence de mauvaise foi, de déloyauté ainsi qu’en l’absence de danger grave et immédiat pour l’entreprise.
RGPD. BEST-PRACTICES ET PLANS D’ACTIONS
Le mois de janvier est consacré au RGDP, que j’appelle dans mes travaux un amplificateur de risques (p.47, chapitre 1) / https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html
Après le rappel du contexte réglementaire, les 1eréléments de bilan 2020 et les sanctions (Carrefour et Carrefour Banque, Google, H&M) je vous propose, à partir d’éléments communiqués par l’entreprise toulousaine I-Trust (Editeur de solutions de Cybersécurité), une synthèse de best practices issues des règles de l’ANSSI et des recommandations de la CNIL. Autant de best pratices à suivre et de plans d’actions à mettre en œuvre.
Les règles de conformité RGPD imposent aux entreprises de se sécuriser selon les meilleures pratiques issues des :
- 42 règles d’hygiènes et bonnes pratiques de l’ANSSI (Agence nationale de sécurité)
- Recommandations officielles de la CNIL (Commission nationale de l’informatique et des libertés)https://www.cnil.fr/fr/securite-tracer-les-acces-et-gerer-les-incidents
Les règles d’hygiènes et bonnes pratiques de l’ANSSI.
# 4 : Identifier les informations et serveurs les plus sensibles et maintenir un schéma du réseau.
Maintenir la cartographie du SI et des informations sensibles via les tags RGPD.
# 5 : Disposer d’un inventaire des comptes privilégiés et les maintenir à jour.
Identifier les comptes privilégiés et de vérifier en continu leur mise à jour.
# 7 : Autoriser la connexion au réseau de l’entité aux seuls équipements maîtrisés.
Détecter la connexion d’appareils étrangers au SI.
#8 : Identifier nommément chaque personne accédant au système et distinguer les rôles utilisateur/administrateur. Journalisation activée.
Détecter les comportements malveillants sur les opérations de comptes et les partages réseaux.
Détecter les bruits de force de compte.
# 10 : Définir et vérifier des règles de choix et de dimensionnement des mots de passe.
Détecter des mots de passe triviaux actifs sur le réseau.
# 12 : Changer les éléments d’authentification par défaut sur les équipements et services.
Détecter les mots de passe par défaut sur les équipements et services.
# 14 : Mettre en place un niveau de sécurité minimal sur l’ensemble du parc informatique. Cette règle concerne essentiellement des points de configuration (chiffrement disque, désactivation autorun, etc.).
# 18 : Chiffrer les données sensibles transmises par voie Internet.
Détecter la présence de services d’échange ou d’interface de connexion non sécurisés.
# 20 : S’assurer de la sécurité des réseaux d’accès Wi-Fi et de la séparation des usages.
Scanner la sécurité des équipements impliqués dans le WiFi (bornes, routeur, etc.)
#21 : Utiliser des protocoles réseaux sécurisés dès qu’ils existent.
Détecter les services en écoute qui ne garantissent pas la sécurité des transmissions.
# 22 : Mettre en place une passerelle d’accès sécurisé à Internet.
Scanner la sécurité de cette passerelle.
#34 : Définir une politique de mise à jour des composants du système d’information.
Détecter les problèmes d’obsolescence des composants.
#36 : Activer et configurer les journaux des composants les plus importants.
Effectuer une étude contextuelle du SI. Journaliser les éléments suivants : > pare-feu : paquets bloqués ; > systèmes et applications : authentifications et autorisations (échecs et succès), arrêts inopinés ; > services : erreurs de protocoles (par exemples les erreurs 403, 404 et 500 pour les services HTTP), traçabilité des flux applicatifs aux interconnexions (URL sur un relai HTTP, en-têtes des messages sur un relai SMTP, etc.). Pour se faire un centre opérationnel de sécurité doit être installé.
#38 : Procéder à des contrôles et audits de sécurité régulier puis appliquer les actions correctives associées.
Auditer le réseau en continu et éliminer les vulnérabilités évidentes pour que les auditeurs puissent se concentrer sur les failles cachées.
Procéder à des contrôles et audits de sécurité réguliers pour appliquer les actions correctives associées.
# 40 : Définir une procédure de gestion des incidents.
Surveiller en continu toute intrusion ou malveillance présente sur le SI.
# 42 : Privilégier l’usage de produits et de services qualifiés par l’ANSSI.
Obtenir la certification CSPN.
Les règles de la CNIL. Les fiches CNIL sur la sécurité des données personnelles.
#Fiche 1 : Sensibiliser les utilisateurs
Formation au RGPD pour faire le point sur les nouvelles règles et connaître les outils qui sont obligatoires depuis mai 2018, afin de lancer la mise en conformité au plus tôt dans votre organisme.
Cette formation est adressée aux CIL/DPO/DSI/RSSI/Responsable qualité et conformité.
#Fiche 2 : Authentifier les utilisateurs.
Cartographie de l’ensemble du SI permettant de détecter la connexion d’appareils étrangers au SI. Il permet de détecter les protocoles d’accès et d’authentification (ssh/smtp/FTP/…)
#Fiche 3 : Gérer les habilitations.
#Fiche 4 : Tracer les accès et gérer les incidents.
#Fiche 5 : Sécuriser les postes de travail.
#Fiche 6 : Sécuriser l’informatique mobile.
#Fiche 7 : Protéger le réseau informatique interne.
#Fiche 8 : Sécuriser les serveurs.
#Fiche 9 : Sécuriser les sites web.
Cartographie de l’ensemble du réseau. Note de criticité et correctifs associés. Identification des vulnérabilités et logiciels non mis à jour de la plupart des périphériques et applications, y compris les firewalls, les serveurs, les systèmes d’exploitation de bureau, les imprimantes, les appareils sans fil, ainsi que de nombreux autres éléments.
RGPD. SANCTIONS. CARREFOUR. GOOGLE. H&m.
Le mois de janvier est consacré au RGDP, que j’appelle dans mes travaux un amplificateur de risques (p.47, chapitre 1) / https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html
Au programme :
- article / sanctions Carrefour France (2,25 millions euros) et Carrefour Banque (800 000 euros) / avec les délibérations et pour approfondir les références aux articles de la CNIL
- article / sanctions Google LLC (60 millions d’euros) et Google Ireland Limited (40 millions d’euros)
- article sanctions H&M (35 millions d’euros)
Sanctions de 2 250 000 euros et de 800 000 euros pour les sociétés CARREFOUR FRANCE et CARREFOUR BANQUE
26 novembre 2020
Saisie de plusieurs plaintes, la CNIL a sanctionné deux sociétés du groupe CARREFOUR pour des manquements au RGPD concernant notamment l’information délivrée aux personnes et le respect de leurs droits.
Saisie de plusieurs plaintes à l’encontre du groupe CARREFOUR, la CNIL a effectué des contrôles entre mai et juillet 2019 auprès des sociétés CARREFOUR FRANCE (secteur de la grande distribution) et CARREFOUR BANQUE (secteur bancaire). À cette occasion, la CNIL a constaté des manquements concernant le traitement des données des clients et des utilisateurs potentiels. La Présidente de la CNIL a donc décidé d’engager une procédure de sanction à l’encontre de ces sociétés.
À l’issue de cette procédure, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a effectivement considéré que les sociétés avaient manqué à plusieurs obligations prévues par le RGPD.
Elle a ainsi sanctionné la société CARREFOUR FRANCE d’une amende de 2 250 000 euros et la société CARREFOUR BANQUE d’une amende de 800 000 euros. En revanche, elle n’a pas prononcé d’injonction dès lors qu’elle a constaté que des efforts importants avaient permis la mise en conformité sur tous les manquements relevés.
Des manquements à l’obligation d’informer les personnes (article 13 du RGPD)
L’information fournie aux utilisateurs des sites carrefour.fr et carrefour-banque.fr comme aux personnes désirant adhérer au programme de fidélité ou à la carte Pass n’était pas facilement accessible (accès à l’information trop compliqué, dans des documents très longs contenant d’autres informations), ni facilement compréhensible (information rédigée en des termes généraux et imprécis, utilisant parfois des formulations inutilement compliquées). De plus, elle était incomplète en ce qui concerne la durée de conservation des données.
Concernant le site carrefour.fr, l’information était également insuffisante en ce qui concerne les transferts de données hors de l’Union européenne et la base légale des traitements (fichiers).
Sur ce point, les sociétés ont modifié leurs mentions d’information et sites web durant la procédure pour se mettre en conformité.
Des manquements relatifs aux cookies (article 82 de la loi Informatique et Libertés)
La CNIL a constaté que, lorsqu’un utilisateur se connectait au site carrefour.fr ou au site carrefour-banque.fr, plusieurs cookies étaient automatiquement déposés sur son terminal, avant toute action de sa part. Plusieurs de ces cookies servant à la publicité, le consentement de l’utilisateur aurait pourtant dû être recueilli avant le dépôt.
Les sociétés ont modifié, durant la procédure, le fonctionnement de leurs sites web. Plus aucun cookie publicitaire n’est désormais déposé avant que l’utilisateur n’ait donné son accord.
Un manquement à l’obligation de limiter la durée de conservation des données (article 5.1.e du RGPD)
La société CARREFOUR FRANCE ne respectait pas les durées de conservation des données qu’elle avait fixées. Les données de plus de vingt-huit millions de clients inactifs depuis cinq à dix ans étaient ainsi conservées dans le cadre du programme de fidélité. Il en était de même pour 750 000 utilisateurs du site carrefour.fr inactifs depuis cinq à dix ans.
Par ailleurs, en l’espèce, la formation restreinte considère qu’une durée de conservation de 4 ans des données clients après leur dernier achat est excessive. En effet, cette durée, initialement retenue par la société, excède ce qui apparaît nécessaire dans le domaine de la grande distribution, compte tenu des habitudes de consommation des clients qui font principalement des achats réguliers.
Pendant la procédure, la société CARREFOUR FRANCE a engagé d’importants moyens pour procéder aux modifications nécessaires à sa mise en conformité avec le RGPD. Toutes les données trop anciennes ont notamment été supprimées.
Un manquement à l’obligation de faciliter l’exercice des droits (article 12 du RGPD)
La société CARREFOUR FRANCE exigeait, sauf pour l’opposition à la prospection commerciale, un justificatif d’identité pour toute demande d’exercice de droit. Cette demande systématique n’était pas justifiée dès lors qu’il n’existait pas de doute sur l’identité des personnes exerçant leurs droits. Par ailleurs, la société n’a pas été en mesure de traiter dans les délais exigés par le RGPD plusieurs demandes d’exercice de droits.
Sur ces deux points, la société a modifié ses pratiques durant la procédure. Elle a notamment déployé d’importants moyens humains et organisationnels pour répondre à l’ensemble des demandes reçues dans un délai inférieur à un mois.
Un manquement au respect des droits (articles 15, 17 et 21 du RGPD et L34-5 du Code des postes et des communications électroniques)
Tout d’abord, la société CARREFOUR FRANCE n’a pas donné suite à plusieurs demandes de personnes souhaitant accéder à leurs données personnelles. La société s’est rapprochée de toutes les personnes concernées durant la procédure.
Ensuite, dans plusieurs cas, la société n’a pas procédé à l’effacement de données demandé par plusieurs personnes alors qu’elle aurait dû le faire. Sur ce point également, la société a fait droit à toutes les demandes durant la procédure.
Enfin, la société n’a pas pris en compte plusieurs demandes de personnes s’étant opposées à recevoir de la publicité par SMS ou courrier électronique, notamment en raison d’erreurs techniques ponctuelles. La société s’est mise en conformité durant la procédure sur ce point également.
Un manquement à l’obligation de traiter les données de manière loyale (article 5 du RGPD)
Lorsqu’une personne souscrivant à la carte Pass (carte de crédit pouvant être rattachée au compte fidélité) souhaitait également adhérer au programme de fidélité, elle devait cocher une case indiquant qu’elle acceptait que CARREFOUR BANQUE communique à « Carrefour fidélité » son nom, son prénom et son adresse de courrier électronique. CARREFOUR BANQUE indiquait explicitement qu’aucune autre donnée n’était transmise. La CNIL a pourtant constaté que d’autres données étaient transmises, comme l’adresse postale, le numéro de téléphone et le nombre de ses enfants, bien que la société se fût engagée à ne transmettre aucune autre donnée.
Sur ce point, la société a modifié ses pratiques durant la procédure. Elle a entièrement refondu son parcours de souscription en ligne à la carte Pass et les personnes sont désormais informées de l’ensemble des données transmises à la société CARREFOUR FRANCE.
Les délibérations
Pour approfondir
Les textes de référence
> Article 5.1.e du RGPD (conservation des données)
> Article 15 du RGPD (droits de la personne concernée)
> Article 17 du RGPD (droit à l’effacement ou droit à l’oubli)
> Article 21 du RGPD (droit d’opposition)
> Article L34-5 du Code des postes et des communications électroniques
Cookies : sanction de 60 millions d’euros à l’encontre de GOOGLE LLC et de 40 millions d’euros à l’encontre de GOOGLE IRELAND LIMITED
10 décembre 2020
Le 7 décembre 2020, la formation restreinte de la CNIL a sanctionné les sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED d’un montant total de 100 millions d’euros d’amende, notamment pour avoir déposé des cookies publicitaires sur les ordinateurs d’utilisateurs du moteur de recherche google.fr sans consentement préalable ni information satisfaisante.
Le 16 mars 2020, la CNIL a effectué un contrôle en ligne sur le site web google.fr qui a permis de constater que lorsqu’un utilisateur se rendait sur ce site, des cookies étaient automatiquement déposés sur son ordinateur, sans action de sa part. Plusieurs de ces cookies poursuivaient un objectif publicitaire.
Les manquements à la loi Informatique et Libertés
La formation restreinte, organe de la CNIL chargé de prononcer les sanctions, a relevé trois violations à l’article 82 de la loi Informatique et Libertés :
Un dépôt de cookies sans recueil préalable du consentement de l’utilisateur
Lorsqu’un utilisateur se rendait sur la page google.fr, plusieurs cookies poursuivant une finalité publicitaire étaient automatiquement déposés sur son ordinateur sans action de sa part.
Ce type de cookies ne pouvant être déposé sans que l’utilisateur ait exprimé son consentement, la formation restreinte a considéré que les sociétés n’avaient pas respecté l’exigence prévue par l’article 82 de la loi Informatique et Libertés de recueil préalable du consentement avant le dépôt de cookies non essentiels au service.
Un défaut d’information des utilisateurs du moteur de recherche google.fr
Lorsqu’un utilisateur se rendait sur la page google.fr, un bandeau d’information s’affichait en pied de page, portant la mention suivante « Rappel concernant les règles de confidentialité de Google » en face de laquelle figuraient deux boutons intitulés « Me le rappeler plus tard » et « Consulter maintenant ».
Ce bandeau ne fournissait à l’utilisateur aucune information relative aux cookies qui avaient pourtant déjà été déposés sur son ordinateur, dès son arrivée sur le site. Cette information ne lui était pas non plus fournie lorsqu’il cliquait sur le bouton « Consulter maintenant ».
La formation restreinte a donc estimé que l’information fournie par les sociétés ne permettait pas aux utilisateurs résidant en France d’être préalablement et clairement renseignés quant au dépôt de cookies sur leur ordinateur ni, par conséquent, des objectifs de ces cookies et des moyens mis à leur disposition quant à la possibilité de les refuser.
La défaillance partielle du mécanisme « d’opposition »
Lorsqu’un utilisateur désactivait la personnalisation des annonces sur la recherche Google en recourant au mécanisme mis à sa disposition à partir du bouton « Consulter maintenant », un des cookies publicitaires demeurait stocké sur son ordinateur et continuait de lire des informations à destination du serveur auquel il est rattaché.
La formation restreinte a donc estimé que le mécanisme « d’opposition » mis en place par les sociétés était partiellement défaillant, en violation de l’article 82 de la loi Informatique et Libertés.
La sanction prononcée par la formation restreinte
La formation restreinte a sanctionné la société GOOGLE LLC d’une amende de 60 millions d’euros et la société GOOGLE IRELAND LIMITED d’une amende de 40 millions d’euros, rendues publiques.
La formation restreinte a justifié ces montants au regard de la gravité du triple manquement précité à l’article 82 de la loi Informatique et Libertés.
Elle a également souligné la portée du moteur de recherche Google Search en France et le fait que les pratiques des sociétés ont affecté près de cinquante millions d’utilisateurs.
Enfin, elle a relevé les bénéfices considérables que les sociétés tirent des revenus publicitaires indirectement générés à partir des données collectées par ces cookies publicitaires.
La formation restreinte a pris acte que, depuis une mise à jour de septembre 2020, les sociétés cessent de déposer automatiquement les cookies publicitaires dès l’arrivée de l’utilisateur sur la page google.fr.
Elle a néanmoins relevé que le nouveau bandeau d’information mis en œuvre par les sociétés lors de l’arrivée sur la page google.fr ne permettait toujours pas aux utilisateurs résidant en France de comprendre les finalités pour lesquelles les cookies sont utilisés et ne les informait pas du fait qu’ils pouvaient refuser ces cookies.
Dès lors, en complément des amendes administratives, la formation restreinte a également adopté une injonction sous astreinte afin que les sociétés procèdent à une information des personnes conforme à l’article 82 de la loi Informatique et Libertés dans un délai de 3 mois à compter de la notification. Dans le cas contraire, les sociétés s’exposeront au paiement d’une astreinte de 100 000 euros par jour de retard.
Une compétence de la CNIL
Dans sa délibération, la formation restreinte a rappelé que la CNIL est matériellement compétente pour contrôler et sanctionner les cookies déposés par les sociétés sur les ordinateurs des utilisateurs résidant en France. Elle a souligné ainsi que le mécanisme de coopération prévu par le RGPD (mécanisme de « guichet unique ») n’avait pas vocation à s’appliquer dans cette procédure étant donné que les opérations liées à l’utilisation des cookies relèvent de la directive « ePrivacy », transposée à l’article 82 de la loi Informatique et Libertés.
Elle a considéré qu’elle est également territorialement compétente en application de l’article 3 de la loi Informatique et Libertés car le recours à des cookies est effectué dans le « cadre des activités » de la société GOOGLE FRANCE qui constitue « l’établissement » sur le territoire français des sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED et y assure la promotion de leurs produits et services.
Elle a également estimé que les sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED sont conjointement responsables dès lors qu’elles déterminent toutes les deux les finalités et les moyens liés à l’usage des cookies.
L’articulation de la sanction avec les travaux de la CNIL sur les cookies
Dans le cadre de son plan d’action sur le ciblage publicitaire et pour tenir compte de l’entrée en application du RGPD, la CNIL a publié le 1er octobre 2020 ses lignes directrices modificatives ainsi qu’une recommandation portant sur l’usage de cookies et autres traceurs. La CNIL a demandé aux acteurs de se conformer aux règles ainsi clarifiées, en estimant que cette période d’adaptation ne devrait pas dépasser six mois.
À cette occasion, elle a néanmoins précisé qu’elle continuerait notamment à contrôler pleinement le respect des autres obligations qui n’ont fait l’objet d’aucune modification et le cas échéant, d’adopter des mesures correctrices pour protéger la vie privée des internautes.
Les obligations dont la CNIL sanctionne aujourd’hui le non-respect par les sociétés préexistaient au RGPD et ne font donc pas partie de celles qui ont été clarifiées par les nouvelles lignes directrices et la recommandation du 1er octobre 2020.
Note : La société GOOGLE LLC, établie en Californie, développe le moteur de recherche Google Search. La société GOOGLE IRELAND LIMITED, dont le siège est en Irlande, se présente comme le siège européen du groupe Google. La société GOOGLE FRANCE est l’établissement en France de la société GOOGLE LLC.
Une amende de 35 millions d’euros pour H&M qui a stocké les données personnelles des salariés
Ces faits ont été dévoilés en octobre 2019, lorsqu’une erreur informatique les a rendus accessibles, pendant quelques heures, à l’ensemble de l’entreprise.
Une amende de plus de 35 millions d’euros a été prononcée contre l’enseigne H&M en Allemagne jeudi. Le groupe a été condamné pour avoir rassemblé et stocké des informations sur une centaine de salariés.
L’Allemagne a infligé jeudi une amende sans précédent de 35,3 millions d’euros au groupe de prêt-à-porter H&M, pour avoir enregistré des données privées de certains salariés à leur insu, a annoncé le centre de protection des données du pays jeudi.
« Large connaissance » de la vie privée des employés
« Une amende de 35 258 707,95 euros est requise contre H&M (…) pour une affaire de surveillance de plusieurs centaines de ses collaborateurs », a indiqué le Commissariat à la protection des données de Hambourg. Il s’agit du montant le plus important infligé par l’Allemagne à une entreprise au nom de la législation européenne sur la protection des données privées (RGPD), depuis son entrée en vigueur en 2018, a indiqué une porte-parole de l’institution.
Les autorités reprochent au groupe de prêt-à-porter d’avoir laissé des responsables d’un site H&M, à Nuremberg (sud), rassembler et stocker des informations sur leurs salariés, entre 2014 et 2019. « Certains de ces supérieurs ont acquis une large connaissance de la vie privée de leurs employés », a constaté le centre de protection.
Une erreur informatique
Après l’absence d’un collaborateur, les responsables du site organisaient systématiquement un entretien, traitant « des vacances », ou des « symptômes et diagnostics » du salarié, en cas de congés maladie. Ces informations étaient ensuite « enregistrées », stockées numériquement, et servaient à « établir des profils individuels ».
H&M insiste sur l’aspect « local » de ces pratiques
Les supérieurs obtenaient également des éléments de vie privée de leurs collaborateurs lors de discussions informelles, notamment sur des « problèmes familiaux », ou des « croyances religieuses ». Ces données étaient ensuite « disponibles à la lecture pour jusqu’à 50 responsables du groupe ».
Réagissant à la décision des autorités allemandes, la marque de prêt-à-porter a présenté ses excuses pour des faits qu’elle estime « non conformes aux directives et instructions » du groupe. H&M insiste sur l’aspect « local » de ces pratiques, et affirme avoir « signalé immédiatement les faits » aux autorités, après en avoir pris connaissance.
Ces faits ont été dévoilés en octobre 2019, lorsqu’une erreur informatique les a rendus accessibles, pendant quelques heures, à l’ensemble de l’entreprise.
L’Europe veut protéger la vie privée
Le Règlement européen de protection des données a renforcé les obligations des entreprises en termes de protection de la vie privée. Il prévoit des amendes pouvant aller jusqu’à 4% de leur chiffre d’affaires.
En 2019, l’Allemagne a déjà condamné le groupe immobilier Deutsche Wohnen à une amende de 14,5 millions d’euros pour avoir archivé des données sensibles de ses locataires. La France a de son côté infligé une sanction de 50 millions d’euros au géant de l’informatique Google, pour défaut d’information de ses utilisateurs de leurs données personnelles. L’amende la plus élevée a été infligée par le Royaume-Uni à la compagnie aérienne British Airways, qui a écopé en 2019 d’une sanction de 183 millions de livres (200 millions d’euros), pour un vol des données financières de centaines de milliers de ses clients.
Blog de Caroline Aubry 
