Opinions

La culture du « Duty of Care » en France ?

Entreprises. Dans quelle mesure la gestion des risques, et particulièrement la gestion des risques critiques, relève-t-elle en France de la responsabilité des entreprises ?

Lecture 7 min

De quelle manière nos entreprises sont-elles soumises au « devoir de diligence » (« Duty of Care »), c’est-à-dire à cette obligation qui les amène à prendre les mesures nécessaires afin de préserver leurs collaborateurs de toutes formes de risques ? En ce début d’année 2022, il peut être intéressant de revenir sur cette notion, notamment afin d’en souligner les récentes évolutions. Le « Duty of Care » constitue une obligation légale imposée à une entreprise, exigeant de celle-ci le respect d’une « norme de diligence » raisonnable dans l’accomplissement de tout acte susceptible de nuire à autrui. Cette notion de « Duty of Care » est en fait un terme générique qui englobe les domaines suivants : inclusion (par exemple des minorités), diversité, santé mentale, bien-être et sauvegarde. Tous ces éléments sont liés entre eux, se soutenant et se complétant mutuellement. Les événements critiques – incendie, catastrophe naturelle ou climatique, cyberattaque, acte terroriste… – en font partie.

Aux États-Unis, ils sont pleinement intégrés dans la responsabilité assumée et mise en avant par les entreprises. La catastrophe du 11 septembre, il y a 20 ans, a amené les Américains à développer l’anticipation de ce type de risques, à prévenir toute perturbation de l’exploitation, à automatiser la réponse aux incidents informatiques et bien sûr à assurer à tout moment la sécurité des employés. Des solutions transversales se sont ainsi déployées afin de parer toutes les éventualités. Elles sont tout à la fois humaines et organisationnelles (anticipation d’une cellule de crise) et techniques (mise en place d’une plateforme unique de gestion des risques). Cette notion de « Duty of Care », particulièrement développée aux États-Unis où la responsabilité des entrepreneurs est très prégnante, progresse actuellement en France et en Europe. Cette évolution est à souligner dans la mesure où elle relève d’un signal faible appelé à se développer. En France, la loi organique relative au devoir de vigilance des sociétés mères et donneuses d’ordre, le 27mars 2017, a marqué un tournant majeur dans le régime de responsabilité des sociétés commerciales.

Cette loi prévoit l’obligation pour toutes les sociétés françaises dépassant 5000 salariés d’établir et de mettre en place un « plan de vigilance ». Celui-ci est tout particulièrement centré sur plusieurs thèmes : les « droits humains et les libertés fondamentales », l’environnement et la « santé et la sécurité des personnes ». Son grand mérite est, dans la culture française, de s’emparer d’une question de droit longtemps demeurée confidentielle, pour ne pas dire taboue : celle de la responsabilité de l’entreprise au regard du droit. Dans un pays marqué par le rôle majeur de l’État providence, les organisations se sont longtemps placées sous l’ombre portée de l’État, grand ordonnateur des politiques et de la sécurité publiques. Cet état de fait historique et culturel semble, dans notre pays, en train de changer.

Certes, au sein de l’Hexagone, les entreprises qui déploient leurs produits et services se placent traditionnellement sous le joug des réglementations et des politiques publiques nationales dès lorsqu’il est question de responsabilité. C’est notamment le cas de la responsabilité sociale et environnementale, qui a ces dernières années beaucoup progressé. Mais il semblerait que certaines organisations évoluent sur ces points, prenant de plus en plus les devants vis-à-vis des réglementations en vigueur. La pandémie du Covid-19 les a-t-elle poussées à prendre de plus en plus en mains la notion de risques, et particulièrement de risques critiques ? La multiplication des cyberattaques (+255% depuis deux ans) a-t-elle provoqué au sein des boards une prise de conscience ? L’ère de transitions dans laquelle nous évoluons désormais a-t-elle fait réfléchir les dirigeants ? Peut-être.

Force est, en tous les cas, de constater qu’un nombre croissant d’organisations est actuellement en train d’opérer une mutation en se structurant autour d’un risque majeur. Nous constatons ainsi, chez certaines d’entre elles, une volonté d’anticiper une crise majeure, de se préparer à faire face au plus vite à une cyberattaque ou à une inondation, de se doter d’une plateforme de gestion de crise qui leur permettra, au moment de la survenue de celle-ci, de passer en mode réponse sans subir un état de sidération synonyme d’aggravation de la crise. Cette évolution des mentalités vers la responsabilité, pour ne pas dire vers la prise de soin que constitue le « care », constitue encore, chez nos dirigeants, un signal faible.

La tentation demeure forte de rester centré sur le cadre juridique (l’éthique et l’environnement en forment les deux piliers), de s’acquitter des obligations imposées par la RSE, sans voir qu’un événement critique peut à tout moment survenir. Cet état de fait est avant tout culturel dans notre pays, où la ligne de conduite vise à se conformer au cadre légal sans nécessairement imaginer qu’un événement exceptionnel peut frapper à tout moment et que ce sera à l’organisation d’y faire face de manière pragmatique. Pour autant, les experts du risque majeur que nous sommes observent que l’évolution amorcée vers la responsabilité est appelée à se déployer. Nul doute que le « Duty of Care » en sortira enrichi de pratiques nouvelles.