3. DE L’INDIVIDUALITÉ À LA CO-RESPONSABILITÉ.
Même si la direction juridique est réputée disposer d’outils efficaces pour maîtriser les risques, la bonne maîtrise de ces derniers ne peut pas passer par le seul service juridique car l’efficacité de cet arsenal dépend pour partie de sa planification amont.
Il est des situations dans lesquelles les outils juridiques sont en effet inefficaces, en particulier lorsque le mal est déjà fait. A titre d’exemple, le délit de révélation d’un secret de fabrique n’est applicable qu’aux seuls salariés. La révélation d’un secret de fabrique par un consultant, tiers à l’entreprise, n’est donc pas un délit.
Une démarche professionnalisée d’inventaire et de cartographie globale des risques est donc nécessaire en amont avant tout déploiement d’une politique de maitrise des risques.
Au-travers de ce processus d’entreprise, la direction juridique devra inventorier, mesurer, quantifier et valoriser les risques, analyser les contre-mesures et procédures déjà existantes afin de maitriser les effets de ces derniers avant de pouvoir dessiner une cartographie valorisée des risques nets et donner naissance à une véritable politique coordonnée et efficace.
Cette politique de maitrise et de contrôle des risques devra bien évidemment être intimement alignée avec la stratégie d’entreprise et être conforme au niveau d’aversion ou d’adhésion au risque défini conjointement avec la direction générale, étant rappelé qu’aucune politique sensée ne peut totalement éradiquer les risques, sauf à paralyser l’activité de l’entreprise.
Une telle politique pourra notamment prendre la forme d’un renforcement des procédures et/ou du contrôle interne, de la formation et/ou de la sensibilisation des opérationnels, de la mise en place d’outils, d’une bonne organisation des délégations de pouvoirs encore la mise en place d’une fonction conformité par exemple.
Dans ce cadre, une très grande responsabilité repose sur les épaules des DSI car l’absence ou l’insuffisance de sécurité efficace et efficiente du système d’information de l’entreprise est aujourd’hui constitutive aux yeux de la jurisprudence d’une quasi-faute de la victime et diminue donc considérablement les possibilités d’obtenir réparation intégrale du dommage.
A titre d’exemple, le détournement du système d’information de l’entreprise ne peut être valablement sanctionné que si toutes les mesures ont été prises en amont car il n’existe pas de notion juridique de vol d’informations, la notion de vol étant réservée aux biens matériels et tangibles. Dans cette hypothèse, seul l’abus de confiance pourrait être retenu mais pour cela, il sera nécessaire de prouver au préalable une remise précaire d’information et un détournement. Dit autrement, sans lien de droit entre l’auteur et la victime, l’infraction ne pourra pas être prouvée.
La maitrise des risques relève de la responsabilité collective au sein de l’organisation et la gestion juridique des risques en constitue l’un des premiers piliers mais non le seul dans le cadre d’une organisation apprenante.
Les 5 défis présentés par les auteurs :
1. De l’objectif à la contribution effective.
