D’après une enquête menée par l’AMRAE [1], les « Risk Managers » sont principalement rattachés hiérarchiquement à la Direction Générale de leur entreprise (39%), suivi par la Direction Financière (22%). Seulement 17% d’entre eux seraient rattachés à la Direction Juridique [2]. Cette très faible proportion interroge, notamment au regard du nombre importants de Risk Managers rattachés aux directions financières ou de l’audit.
Bien sûr, un rattachement direct à la direction générale est un excellent signal de l’importance accordée à la gestion des risques au sein de l’entreprise. Cependant, une direction spécifique en charge de la gestion des risques est plutôt l’apanage des très grandes structures. Dans beaucoup d’ETI [3] la gestion des risques se limite bien souvent à la gestion du programme d’assurance de l’entreprise [4]. Pourquoi le domaine de l’assurance (et plus largement la gestion des risques) ne serait pas confié plus systématiquement au(x) juriste(s) de l’entreprise ?
D’abord, et c’est une évidence, rappelons que la « police d’assurance » est un contrat. Le juriste est donc très bien placé pour en interpréter les termes, et pourquoi pas les négocier. La période de crise sanitaire liée au Covid-19 a bien montré l’intérêt de connaître le contenu et les limites de son contrat d’assurance. Il n’a pas fallu attendre longtemps pour voir nombre d’assureurs et d’assurés se battre devant les tribunaux sur la prise en charge des pertes d’exploitation consécutives aux mesures gouvernementales de confinement.
Certaines compagnies ont tout de suite joué le jeu de l’apaisement et décidé des mesures « commerciales » en faveur de leurs assurés. Pour d’autres, le débat s’est porté sur le terrain judiciaire et a fait l’objet de plusieurs décisions qui ont eu un large retentissement médiatique [5]. L’interprétation des clauses d’exclusion a été au cœur du débat juridique. Certes, le Code des assurances français semble favoriser l’assuré en présence de clauses obscures [6].
Cependant, la police d’assurance peut être soumise à un droit moins favorable. Et même devant le juge français, l’interprétation favorable à l’assuré n’est pas absolue et connaît certains tempéraments. Une lecture attentive de la police d’assurance reste donc plus que conseillée, et ce rôle échoit naturellement au juriste de l’entreprise.
Ensuite, il est clair que c’est un juriste qui est le mieux placé pour apprécier le risque de mise en cause de la responsabilité de son entreprise par un tiers (RC professionnelle, RC après livraison, RC des mandataires sociaux). Dans de nombreuses entreprises le risque « RC » représente un risque majeur, si ce n’est le principal. Connaître le programme d‘assurance de son entreprise confère au juriste un avantage certain dans la négociation d’un contrat de fourniture, de construction, de distribution, etc., notamment s’agissant de l’articulation entre les clauses « responsabilités » et « assurances ». C’est un gage de sécurité, d’efficacité et un gain de temps indéniable !
Le transfert des risques au marché de l’assurance ne concerne pas que le risque de responsabilité civile. Beaucoup d’entreprises possèdent un patrimoine important, des bureaux, des usines, des équipements de production, qu’il faut assurer contre le risque d’incendie, d’évènements climatiques, etc. Il y a également des stocks de marchandises à assurer contre le risque de perte ou de vol. Tous ces risques relèvent du domaine de l’assurance de biens, pour lequel l’assureur versera une indemnité à la suite d’un évènement, indépendamment d’une recherche de responsabilité. Dès lors, en quoi le juriste pourrait-il se sentir concerné ?
S’agissant de la compréhension du risque, on est parfois en présence de risques complexes, voire très complexes, surtout lorsqu’il s’agit d’installations industrielles de grande taille, a fortiori dans certains secteurs (industrie chimique, pétrolière). En présence de ces risques, la démarche assurantielle passe nécessairement par un bon programme de prévention, et il faut s’intéresser aux process industriels mis en œuvre, à l’organisation du site, aux installations techniques de détection et d’extinction incendie (liste non exhaustive).
Dans la grande majorité des cas, les études juridiques n’auront pas permis d’acquérir des compétences en mécanique, électricité, chimie, etc. Cela ne doit pas être vu comme un obstacle rédhibitoire car, d’une part, la curiosité d’esprit est une qualité souvent reconnue au juriste et, d’autre part, il existe toujours la possibilité de se former en continu. En tout état de cause, on ne voit pas très bien ce qui placerait sur ce terrain-là le juriste en infériorité par rapport à son collègue de la direction financière ? Rappelons également que le juriste est capable d’évaluer les risques de non-conformité au regard de référentiels qui lui sont familiers (code de la construction et de l’habitation, code de l’environnement, etc.). La construction est un terrain de prédilection pour la normalisation, et le juriste est intellectuellement préparé à vérifier et interpréter la norme.
Le risque « cyber », qui a émergé plus récemment et semble se développer de manière significative, présente un défi de taille dans son analyse et son traitement. Il s’agit d’un univers complexe pour lequel le juriste devra là encore faire preuve de curiosité et de méthodologie, en faisant appel aux compétences internes. Gardons à l’esprit que même pour les « spécialistes », le risque cyber est encore mal compris et, parallèlement, l’industrie de l’assurance peine à trouver l’équilibre économique des garanties cyber [7]. Dans beaucoup d’entreprises, tout reste à faire, et le juriste permettra peut-être de faire progresser l’organisation à laquelle il appartient à l’occasion de la négociation d’une première assurance cyber (les questionnaires de souscription à compléter peuvent être l’occasion de stimuler la mise en place d’une politique de prévention).
Le juriste est habitué à travailler en mode « projet », que ce soit pour des opérations de M&A, un lancement de produit, un contrat complexe. La gestion d’un sinistre assurantiel ne présente donc pas pour lui de difficulté méthodologique particulière, avec un travail de coordination interne et externe qui ressemblera dans une large mesure à la gestion d’un dossier contentieux.
Il existe à mon sens très peu d’hypothèses dans lesquelles la direction juridique ne serait pas le bon interlocuteur. Une de ces exceptions pourrait être la « captive » d’assurance, qui ne concerne toutefois qu’un nombre assez limité de grandes entreprises (celles qui paient plusieurs millions d’euros de primes annuelles). La captive est une société d’assurance (agréée auprès des autorités de contrôle prudentiel) qui est créée et détenue par une entreprise dont le cœur de métier n’est pas l’assurance. À l’origine, ces structures ont été créées pour couvrir des risques qui ne l’étaient pas par le marché, et utilisées comme un moyen de financement des risques alternatif à l’assurance traditionnelle. Concrètement, l’entreprise (et ses filiales) versent des primes, prélevées sur leurs capitaux propres, à la captive qui couvre leurs sinistres. Cette dernière se réassure ensuite auprès de (ré)assureurs. C’est un outil de financement des risques qui permet de provisionner des aléas futurs (ce qui n’est normalement pas permis d’un point de vue comptable). La captive a donc une forte composante financière (et, dans une moindre mesure, fiscale) ce qui peut justifier que la gestion en soit confiée à la direction financière de l’entreprise.
En conclusion, dans la grande majorité des entreprises et des secteurs d’activité, le juriste sera parfaitement apte à assumer tout ou partie des missions traditionnelles de « risk management » : appréciation du risque (identification, analyse, évaluation du risque), maîtrise des risques (via notamment leur transfert aux assureurs), diffusion de la culture du risque, gestion des sinistres, gestion des évènements non assurés ou non assurables, gestion de crise, pilotage et reporting...