Quand le Black Swan vient de l’intérieur. Ce que le General Counsel (GC) doit savoir
BLR n° 44 – 14/11/2024
Photo de couverture : un cygne noir
Le Black Swan est un événement conjuguant faible probabilité et effets dévastateurs.
Les évolutions sociales et technologiques ont accru le potentiel de dommages qu’un employé indélicat peut causer à son entreprise. Voici ce que le General Counsel (GC) doit avoir en tête pour affronter ce type de situation.
Les entreprises ont toujours dû faire face au risque qu’un employé puisse commettre des actes malhonnêtes, et ce de manière volontaire ou non. Mais ces dernières années, ce risque a augmenté, notamment au regard de l’accroissement du turn-over. Les employés qui quittent une entreprise peuvent de plus en plus souvent emporter avec eux des actifs liés à la propriété intellectuelle (« PI ») ou se livrer à des vols de données, exposant ainsi des informations sensibles et confidentielles au public. Selon un rapport de mars 2023 de DTEX Systems, les départs volontaires ont augmenté de 20 % au cours du premier semestre 2022 comparés aux niveaux constatés avant la pandémie de Covid 19. Cette constatation s’accompagne d’une alarmante augmentation de 35 % des incidents de vol de données.
Le rapport de 2024 a également montré que 15 % des employés partants emportaient des données sensibles liées à la propriété intellectuelle de l’entreprise avec eux et 76% des salariés partants emportaient des données appartenant à l’entreprise 1
En plus d’avoir à gérer ces risques, le GC est sous pression pour surveiller et contrôler l’explosion de la circulation des données sensibles auxquelles les employés accèdent via l’utilisation de moyens de communications externes, souvent non prévus par les chartes IT comme les applications WhatsApp ou Signal.
Il n’est donc pas surprenant que la fréquence de ce type d’incidents augmente, tout comme les dépenses annuelles des entreprises pour les
prendre en charge qui sont aujourd’hui estimées à 15,4 millions de dollars 2.
Ces évolutions intensifient les attentes envers le GC, qui, même avec de solides programmes de conformité et de contrôles en place dans l’entreprise, doit être prêt à répondre et à enquêter sur une grande variété de crises venant de l’intérieur. Connaître la meilleure approche à adopter face à un employé indélicat peut minimiser les répercussions et atténuer les risques futurs.
Le déclenchement d’une enquête
Les conséquences des actes d’un employé indélicat peuvent varier en gravité, mais la plupart des situations requièrent un certain niveau d’enquête interne. Beaucoup de ces situations peuvent rapidement entrainer une crise et avoir de lourdes conséquences. La fraude comptable, le détournement de fonds ou encore les vols d’informations confidentielles sont des exemples classiques. Les étapes spécifiques de l’enquête varieront en fonction de l’impact, de l’échelle et de l’importance de l’incident.
Près de la moitié (45 %) des GCs interrogés dans » The General Counsel Report 2023 » de FTI Consulting ont déclaré leurs organisations avaient connu de nouveaux défis associés au télétravail. Parmi les répondants, 30% ont rapporté que le travail à distance et hybride avaient directement influencé la manière dont ils abordaient leurs risques de conformité règlementaire et de confidentialité des données 3.
Si l’identité de l’employé indélicat est immédiatement établie, le GC devra s’assurer que ses accès aux différents systèmes de la société lui sont coupés le plus rapidement possible. Bien que cela puisse sembler simple, le processus peut nécessiter beaucoup de temps et d’effort compte tenu de la prolifération des données et des canaux d’accès et de partage d’informations à travers des systèmes, comptes et appareils.
Un autre paramètre important à prendre en compte est la manière dont les actes d’exfiltration de l’employé indélicat sont découverts.
Si un lanceur d’alerte connu est impliqué, le GC a un rôle à jouer dès le début de l’enquête pour s’assurer que la personne est correctement interviewée et informée des politiques internes appropriées (telle qu’une politique anti-représailles), et que l’entreprise se conforme bien aux lois de protection des lanceurs d’alerte. Bien que le GC joue un rôle de leadership essentiel dans la réponse à une menace interne et la conduite de l’enquête interne, le fardeau ne doit pas reposer uniquement sur ses épaules.
En effet, le GC doit être considéré comme le pivot central d’une équipe plus large, positionné pour répondre de manière holistique à toutes les questions et implications juridiques en coordination avec les dirigeants de l’entreprise
Voici quelques principes généraux que le GC pourra suivre pour assumer avec succès un tel rôle :
Constituer l’équipe. Il est crucial de définir les membres de l’équipe d’enquête interne, de déterminer les rôles et responsabilités de chacun et d’identifier les modalités d’échanges d’informations au fur et à mesure de la progression de l’enquête. Le GC devra désigner un point de contact interne qui se chargera de répondre aux demandes d’information et coordonnera le plan d’action global.
Établir un calendrier. Le type de crise et son étendue influenceront le rythme de l’enquête. Chaque enquête n’a pas besoin d’un calendrier exact, mais fixer des délais dans la collecte de données ou la découverte de preuves peut garantir que cette dernière sera conduite avec l’urgence appropriée et qu’elle permettra d’apporter les réponses nécessaires aux échéances juridiques ou réglementaires – tout en étant gérée le plus efficacement possible, notamment en ce qui concerne les coûts. En outre, une réponse rapide renforcera la confiance des parties prenantes, incluant le conseil d’administration, les employés, les partenaires et le public. Elle démontrera que la direction prend au sérieux le traitement du problème.
Garder le contrôle de l’information. Une enquête ouverte et transparente est un gage d’intégrité pour les parties prenantes, ce qui peut être bénéfique pour la réputation de l’organisation à l’issue de l’enquête. Toutefois, dans le cadre de nombreuses enquêtes, de nombreux détails devront rester confidentiels. Vol de propriété intellectuelle, fraude comptable ou détournement de fonds, la discrétion est de mise notamment quand le problème sous-jacent est confidentiel.
Procéder à une révélation volontaire des faits ? Savoir si et quand tirer parti des options d’une révélation volontaire des faits aux autorités compétentes peut réduire, voire éliminer, les sanctions financières éventuelles, le cas échéant. Travailler directement avec les autorités en s’appuyant sur une approche collaborative pour trouver une solution peut également démontrer les efforts de mise en conformité de l’entreprise.
Quand chercher de l’aide externe
Les enquêtes internes occasionnées par des crises sont souvent des affaires très sensibles au facteur « temps ». Elles risquent d’impacter ou de perturber la confiance des parties prenantes et des talents, les opérations commerciales, la conformité réglementaire, l’exposition aux contentieux, la réputation de la marque et la valeur de l’entreprise sur le marché.
Quelle que soit la qualité de la préparation ou de la proactivité d’un service juridique, des difficultés peuvent survenir en amont ou au cours d’une enquête et dépasser le cadre de l’expérience de l’équipe.
En outre, le temps et les ressources nécessaires pour mener à bien une enquête peuvent mettre à rude épreuve les activités quotidiennes essentielles à l’entreprise.
Un conseil externe fort d’une expertise reconnue dans les enquêtes internes et la gestion de crise peut contribuer à l’accélération du processus et à la garantie d’une approche complète et défendable, le GC conservant son rôle de chef d’équipe stratégique. Les experts externes sont souvent qualifiés dans les domaines essentiels des enquêtes internes, tels que :
Les relations avec les tiers : les avocats et les conseils externes emploient souvent des professionnels ayant une expérience en matière de réglementation. L’établissement de relations de confiance solides avec les autorités peut contribuer à minorer les pénalités financières lors des négociations dans le cas de révélation volontaire.
La technologie : le grand nombre de moyens de communication et de canaux utilisés aujourd’hui offre d’innombrables cachettes pour les preuves. Bien que les organisations aient amélioré leurs programmes de surveillance et aient déployé des programmes de formation sur les sujets de conformité auprès de leur salariés, un spécialiste en investigation disposera des outils et de l’expertise nécessaires pour accéder aux appareils, systèmes et plateformes dans le Cloud et ainsi trouver et accéder à des sources de grande valeur probante.
La communications stratégique : le service de communication est-il prêt à gérer la crise en interne et son impact réputationnel potentiel ? Sa stratégie de communication est-elle alignée avec la stratégie juridique ? Quand et comment les employés doivent-ils être informés, et à quelle fréquence doivent-ils être tenus au courant ? Quel est le calendrier et la fréquence des messages destinés au public, le cas échéant ? Des professionnels experts en communication stratégique pourront apporter toute leur expertise dans ces situations.
Réévaluation, engagement et confiance
La découverte d’un employé indélicat, et la crise qui s’en suit, peut être extrêmement perturbante et nécessiter beaucoup de temps et d’efforts pour investiguer la situation. Mais cette dernière offre également
l’occasion pour le GC de réexaminer ses plans de gestion des risques, notamment en veillant à ce que les employés respectent les règles, en dispensant des formations complémentaires en matière d’éthique et en réévaluant les contrôles internes.
Pendant qu’elle est en cours, l’enquête interne peut donner à une entreprise le temps nécessaire pour mettre en œuvre de nouvelles procédures. Ainsi, lorsque les conclusions seront transmises, l’entreprise pourra communiquer sur les mesures correctrices déjà prises et mises en œuvre. En s’associant à un cabinet d’experts externe, l’organisation démontre également qu’elle s’engage à mener une enquête objective et approfondie. Tous ces efforts favorisent la confiance entre les parties prenantes, notamment les autorités, les investisseurs, les clients et le grand public.
Notes
- “2023 Insider Risk Investigations Report,” DTEX Systems, (Mars 2023), “2024 Insider Risk Investigations Report,” DTEX Systems, (Mars 2024) ↩︎
- Claire Meyer, “Infographic: How Much Do Insider Threat Incidents Cost Companies?” ASIS International, (17 avril 2023). ↩︎
- “The General Counsel Report 2023,” FTI Consulting, (6 juillet 2023). ↩︎
Contacts : Karl Payeur, Senior Managing Director, Co-Leader of France et Cyril Naudin, Senior Managing Director, Head of France Investigations & Compliance, FTI Consulting.
NB : article original rédigé en anglais par Myron Marlin, Veeral Gosalia, et Nicole P. Wells, FTI Consulting.
Contacter un des auteurs ou l’une des personnalités, les Business & Legal Forums, premier think tank participatif de l’entreprise & du droit vous met en relation ou devenez AMI, Active Member to inspire du think tank.