Par Nicolas Bonte, VP South Emea chez Everbridge, Solutions de Gestion d'Evénements
En France, la notion de responsabilité des entreprises vis-à-vis des employés est encadrée par une loi récente relative au devoir de vigilance (« Duty of Care ») des sociétés mères et donneuses d’ordre (mars 2017). Les crises actuelles semblent également entraîner une prise de conscience. Allons-nous vers un changement ?
Dans quelle mesure la gestion des risques, et particulièrement la gestion des risques critiques, relève-t-elle en France de la responsabilité des entreprises ? De quelle manière nos entreprises sont-elles soumises au « devoir de diligence » (« Duty of Care »), c’est-à-dire à cette obligation qui les amène à prendre les mesures nécessaires afin de préserver leurs collaborateurs de toutes formes de risques ? En ce début d’année 2022, il peut être intéressant de revenir sur cette notion, notamment afin d’en souligner les récentes évolutions.
Le « Duty of Care » : anticiper le risque, notamment l’événement critique
Le « Duty of Care » constitue une obligation légale imposée à une entreprise, exigeant de celle-ci le respect d’une « norme de diligence » raisonnable dans l’accomplissement de tout acte susceptible de nuire à autrui. Cette notion de « Duty of Care » est en fait un terme générique qui englobe les domaines suivants : inclusion (par exemple des minorités), diversité, santé mentale, bien-être et sauvegarde. Tous ces éléments sont liés entre eux, se soutenant et se complétant mutuellement. Les événements critiques – incendie, catastrophe naturelle ou climatique, cyberattaque, acte terroriste… – en font partie. Aux Etats-Unis, ils sont pleinement intégrés dans la responsabilité assumée et mise en avant par les entreprises. La catastrophe du 11-Septembre, il y a 20 ans, a amené les Américains à développer l’anticipation de ce type de risques, à prévenir toute perturbation de l’exploitation, à automatiser la réponse aux incidents informatiques et bien sûr à assurer à tout moment la sécurité des employés. Des solutions transversales se sont ainsi déployées afin de parer toutes les éventualités. Elles sont tout à la fois humaines et organisationnelle (anticipation d’une cellule de crise) et techniques (mise en place d’une plateforme unique de gestion des risques).
En France : un cadre légal qui se densifie
Cette notion de « Duty of Care », particulièrement développée aux Etats-Unis où la responsabilité des entrepreneurs est très prégnante, progresse actuellement en France et en Europe. Cette évolution est à souligner dans la mesure où elle relève d’un signal faible appelé à se développer. En France, la loi organique relative au devoir de vigilance des sociétés mères et donneuses d’ordre, le 27 mars 2017, a marqué un tournant majeur dans le régime de responsabilité des sociétés commerciales. Cette loi prévoit l’obligation pour toutes les sociétés françaises dépassant 5000 salariés d’établir et de mettre en place un « plan de vigilance ». Celui-ci est tout particulièrement centré sur plusieurs thèmes : les « droits humains et les libertés fondamentales », l’environnement et la « santé et la sécurité des personnes ». Son grand mérite est, dans la culture française, de s’emparer d’une question de droit longtemps demeurée confidentielle, pour ne pas dire taboue : cette de la responsabilité de l’entreprise au regard du droit. Dans un pays marqué par le rôle majeur de l’Etat providence, les organisations se sont longtemps placées sous l’ombre portée de l’Etat, grand ordonnateur des politiques et de la sécurité publiques. Cet état de fait historique et culturel semble, dans notre pays, en train de changer.
Des signaux faibles qui annoncent un changement de paradigme ?
Certes, au sein de l’Hexagone, les entreprises qui déploient leurs produits et services se placent traditionnellement sous le joug des règlementations et des politiques publiques nationales dès lorsqu’il est question de responsabilité. C’est notamment le cas de la responsabilité sociale et environnementale, qui a ces dernières années beaucoup progressée. Mais il semblerait que certaines organisations évoluent sur ces points, prenant de plus en plus les devants vis-à-vis des règlementations en vigueur. La pandémie du Covid-19 les a-t-elle poussées à prendre de plus en plus en mains la notion de risques, et particulièrement de risques critiques ? La multiplication des cyberattaques (+255% depuis 2 ans) a-t-elle provoqué au sein des board une prise de conscience ? L’ère de transitions dans laquelle nous évolution désormais a-t-elle fait réfléchir les dirigeants ? Peut-être. Force est en tous les cas de constater qu’un nombre croissant d’organisations sont actuellement en train d’opérer une mutation en se structurant autour d’un risque majeur. Nous constatons ainsi, chez certaines d’entre elles, une volonté d’anticiper une crise majeure, de se préparer à faire face au plus vite à une cyberattaque ou à une inondation, de se doter d’une plateforme de gestion de crise qui leur permettra, au moment de la survenue de celle-ci, de passer en mode réponse sans subir un état de sidération synonyme d’aggravation de la crise.
Cette évolution des mentalités vers la responsabilité, pour ne pas dire vers la prise de soin que constitue le « care », constitue encore, chez nos dirigeants, un signal faible. La tentation demeure forte de rester centré sur le cadre juridique (l’éthique et l’environnement en forment les deux piliers), de s’acquitter des obligations imposées par la RSE, sans voir qu’un événement critique peut à tout moment survenir. Cet état de fait est avant tout culturel dans notre pays, où la ligne de conduite vise à se conformer au cadre légal sans nécessairement imaginer qu’un événement exceptionnel peut frapper à tout moment et que ce sera à l’organisation d’y faire face de lanière pragmatique. Pour autant, les experts du risque majeur que nous sommes observent que l’évolution amorcée vers la responsabilité est appelée à se déployer. Nul doute que le « Duty of Care » en sortira enrichi de pratiques nouvelles.