Management juridique : quelles évolutions des risques et des assurances ?

Le RGPD au cœur des changements

De manière étonnante, malgré l’actualité foisonnante, l’évolution juridique et réglementaire la plus citée parmi les réponses à notre enquête est le RGPD. Les obligations induites par ce texte ont en effet considérablement marqué les entreprises et leur fonctionnement. C’est notamment le cas parce que la mise en conformité avec le RGPD est un processus lent, dynamique et continu où il faut mettre en conformité en permanence, ce qui demande de s’organiser et de se réorganiser. Or, diffuser ces bonnes pratiques implique un travail pédagogique d’ampleur pour notamment expliquer ce que des termes comme « donnée » ou « traitement » recouvrent réellement dans les fonctionnements quotidiens. Il y a donc tout un travail pour déterminer la nature des données, qui les manipule et comment elles sont stockées, transférées et conservées. De vraies contraintes portent sur le respect de règles de transparence, sur l’information des personnes quant à la collecte des données personnelles, et par la mise en place d’un droit d’accès et d’un droit d’opposition effectifs.

Le Covid et ses multiples facettes

L’impact du Covid-19 vient juste derrière dans le nombre de réponses. L’impact en termes de risques est multifactoriel puisqu’il touche tous les domaines : tensions financières, approvisionnement, télétravail, cyberattaques. Mais les contraintes juridiques sont également nombreuses, puisqu’elles concernent tout d’abord le temps du confinement, avec la multitude de modifications que les entreprises doivent intégrer, aussi diverses que la gestion des contrats de travail, la gestion du télétravail, la durée du temps de travail, des congés payés, des JRTT et des jours de repos, ainsi que l’adaptation du dialogue social et des réunions du CSE. Mais également la période post-confinement avec la reprise de l’activité qui implique la détermination des mesures de réorganisation nécessaires avec les institutions représentatives du personnel et la médecine du travail afin de mettre à jour le document unique et d’élaborer un plan de continuité, et qui passe notamment par l’information et le contrôle des salariés afin de garantir l’efficacité des mesures prises pour lutter contre la propagation de l’épidémie, au moyen de la mise en place des gestes barrières et la commande des équipements adaptés.

Compliance et loi Sapin 2

La troisième réponse la plus récurrente porte sur les programmes de compliance. De nombreuses directions juridiques sont encore en train de mettre en place ces programmes d’identification des risques et de traitement des problèmes, avec un fort accent mis sur la corruption en raison de la loi Sapin 2. Les démarches sont d’autant plus engageantes pour l’entreprise que de tels programmes doivent être le plus pragmatiques possible, afin, quand elles sont confrontées à un problème, de savoir prendre les mesures pour le faire cesser et de sanctionner la personne responsable. L’esprit de ces lois étant qu’une entreprise qui a mal anticipé a favorisé le délit. L’ampleur du processus passe par l’évaluation des sous-traitants et des fournisseurs, la définition de zones à risques et de pratiques à risques. Pour chaque position à risque dans la structure, l’enjeu est donc de déterminer qui sont les interlocuteurs et quels sont les processus de prise de décision pour lancer des marchés et passer des commandes, ce afin de voir à travers quels mécanismes prévenir la corruption active ou passive, et enfin de prévoir les dispositifs de signalement.

Le télétravail prend de l’ampleur

Si le gouvernement n’a pas fait évoluer la législation sur le télétravail durant cette crise sanitaire, parce qu’il estimait les dispositifs suffisants, nombre de petites entreprises ont été confrontées pour la première fois à ce fonctionnement, avec une telle ampleur, à telle enseigne que plusieurs directions juridiques l’ont cité parmi les enjeux majeurs du moment. Qu’en sera-t-il après la fin du confinement ? Au titre de l’obligation de sécurité de moyens renforcée, l’entreprise pourrait imposer la poursuite du télétravail sans autorisation préalable du salarié, ce afin de rendre compatible la continuité de l’activité de l’entreprise et la protection des salariés. Dans tous les cas, il est indispensable, si ça n’a pas encore été fait, de mettre à jour le document unique d’évaluation des risques professionnels ainsi que l’accord collectif précisant les modalités concrètes d’organisation du télétravail. Sur le sujet de la prise en charge des frais, les employeurs restent malgré tout tenus de s’en acquitter, et si aucune disposition à ce sujet ne figure dans l’accord d’entreprise ou dans la charte du télétravail, ou à défaut dans le contrat de travail, il est recommandé aux employeurs de s’emparer rapidement de ce sujet pour déterminer ces modalités et ainsi couper court à d’éventuelles réclamations futures.

Les cyber-attaques sont toujours d’actualité

Un sujet qui n’est pas nouveau, mais que nombre de directions juridiques continuent à mettre au premier rang des évolutions marquantes dans leur gestion des risques est les cyber-attaques. Il est en effet évident que les crises multifactorielles, comme celle que traversent nos économies, rendent encore plus difficile pour les entreprises de répondre de manière adéquate à d’éventuelles cyber-attaques, tant les enjeux à gérer simultanément sont nombreux et variés. La problématique est d’ailleurs en lien avec le risque « données personnelles » puisque les amendes massives prévues dans le RGPD interviennent notamment quand l’entreprise ne peut prouver avoir pris des précautions pour protéger les données personnelles de cyber-attaques. Un deuxième enjeu tient aux polices d’assurance elles-mêmes, qui peuvent s’avérer problématiques, d’une part dans leur volet origine, comme l’a montré le litige entre l’assureur Zurich et le groupe Mondelez, mais aussi dans une difficulté des compagnies d’assurances à tarifer les polices, en raison du manque de données historiques sur les sinistres, de la réticence des entreprises à partager l’information sur l’impact des cyber-attaques subies, de l’évolution rapide et continue des technologies, mais aussi de la grande variabilité des conséquences financières. Pour autant, les polices ont beaucoup évolué ces dernières années, pour le meilleur, et sont notamment en phase de personnalisation, avec une démarche secteur par secteur qui vise à s’adapter aux besoins des entreprises.

Retrouvez le dossier complet avec le répertoire des 100 cabinets d’avocats experts en droit des assurances, risques et transports

https://www.village-justice.com/articles/sommaire-journal-management-juridique-numero-risques-assurances-transport,35656.html

Les questions à se poser pour élaborer un Plan de Continuité d’Activité (PcA)

La direction est-elle fortement impliquée ?

Le contexte et le périmètre du PcA ont-ils été précisés ?

Les objectifs, les activités essentielles, les flux et les ressources critiques ont-ils été identifiés ?

Les processus de l’organisation ont-ils été cartographiés ?

Les ressources substantielles et les ressources immatérielles ont-elles été prises en compte ?

Les niveaux de fonctionnement en mode dégradé sont-ils explicités ?

Les niveaux dégradés de prestations des fournisseurs ont-ils été pris en compte ?

Les interdépendances et les effets en cascade ont-ils été décrits et précisés ?

Les objectifs de continuité sont-ils cohérents avec ceux de l’organisation ? Sont-ils mesurables ? Et tiennent-ils compte des ressources nécessaires ?

L’ordre de priorité des procédures, des ressources, de la reprise et du basculement progressif sur les systèmes normaux est-il identifié ?

Les actions de communication inhérentes au lancement, à l’appropriation et à la mise en œuvre du PcA ont-elles été prévues ?

Les mesures à mettre en œuvre et les procédures associées sont-elles simples et accessibles ?

Les dispositifs, moyens et ressources nécessaires à la mise en œuvre du PcA sont-ils disponibles et/ou en place ?

Les personnels responsables sont-ils désignés, informés et formés aux procédures prévues ?

Les indicateurs, les dispositifs itératifs de vérification, contrôles, exercices et évolution du plan sont-ils conçus et déclinés ?

Les procédures de sauvegarde/récupération et les moyens critiques du PcA seront-ils contrôlés périodiquement ?

Jordan BELGRAVE

Contenu proposé par LEGI TEAM.