La pratique des risques financiers, exécutifs et professionnels (FINEX) de WTW collabore avec des professionnels de l'ensemble de l'industrie de l'assurance responsabilité des administrateurs et dirigeants (D&O) pour obtenir une perspective sur les nombreux aspects de notre activité. Dans notre « Série de professionnels D&O », nous mettons en avant des professionnels de divers secteurs de l'industrie, allant des souscripteurs D&O exécutifs aux avocats spécialisés en valeurs mobilières, en passant par les conseillers en couverture et d'autres. Notre objectif est de discuter de la manière dont les conditions en constante évolution de l'économie au sens large et des affaires ont eu un impact sur le risque D&O, le contentieux en valeurs mobilières et notre industrie de manière plus générale.
En se concentrant sur le marché français, Daniel Kadar et Margot Lacaud de Reed Smith LLP discutent des enjeux critiques qui façonnent les responsabilités et les risques auxquels sont confrontés les administrateurs et les dirigeants aujourd'hui, de la volatilité économique à la manière dont les institutions financières effectuent des investissements significatifs dans la technologie de l'IA. Rejoignez-nous pour analyser ces développements d'actualité.
WTW: Quels développements avez-vous observés dans les risques D&O pour les institutions financières mondiales au cours des dernières années ? Comment la situation diffère-t-elle pour les organisations commerciales?
Reed Smith (RS): Les institutions financières sont soumises à des réglementations complexes qui imposent des exigences strictes de conformité et une surveillance par des autorités telles que l'AMF. Depuis l'incorporation de la Directive (MiFID II) et de son Règlement délégué (UE) 2017/565 dans le droit français, les institutions financières ont dû faire face à des obligations de conformité rigoureuses, en particulier pour leurs dirigeants. Dans une note datée du 6 juin 2021, l'AMF a réitéré que son Règlement général et le Règlement délégué exigent que les sociétés d'investissement veillent à ce que ces obligations relèvent de la responsabilité de leurs organes de gouvernance (Note 06/06/21).
Bien que les entreprises commerciales soient également confrontées à des développements réglementaires, ceux-ci concernent souvent la concurrence, les produits défectueux ou les pratiques commerciales. Par exemple, la Loi Climat et Résilience du 22 août 2021 a modifié l'article L.121-2 du Code de la consommation, étendant les pratiques commerciales trompeuses pour inclure le greenwashing (Loi 22/08/2021).
Les récents changements réglementaires ont de plus en plus mis l'accent sur les préoccupations ESG, affectant à la fois les institutions financières et commerciales. Cependant, les institutions financières, en particulier les banques, ont été au centre du débat public ces dernières années, comme le soulignent les rapports de 2020 d'OXFAM France sur l'impact des banques sur le climat (Rapport d'Oxfam).
Parmi les développements notables, citons:
Ces nouvelles réglementations créent une surveillance supplémentaire et, par conséquent, de nouveaux risques pour les dirigeants et les administrateurs, qui peuvent être tenus responsables s'ils ne respectent pas les intérêts sociaux ou ne traitent pas les préoccupations climatiques (source). Dans le Baromètre de l'engagement climatique 2023 [publié] par l'AMRAE en partenariat avec AXA Climate, la majorité des gestionnaires de risques interrogés ont déclaré que leurs organisations avaient mis en place une gouvernance des risques climatiques, avec 95 % se préparant pour la CSDR, ce qui devrait encore accélérer la structuration de la gestion des risques climatiques dans les organisations (Baromètre 2023 de l'AMRAE).
Les cyberattaques sont une préoccupation croissante en France, en particulier dans les secteurs financier et des assurances, comme le souligne le rapport 2023 du Haut Comité de Gouvernance d'Entreprise (rapport). La Directive (UE) 2022/2555 sur la sécurité des réseaux et de l'information (NIS 2) a élargi son champ d'application, obligeant les entités à renforcer les mesures de sécurité et à signaler à l'autorité nationale.
La responsabilité personnelle d'un dirigeant ou d'un administrateur peut être engagée pour ne pas avoir exercé la diligence requise en cas de cyberattaque ou de violation de données impliquant une filiale ou un sous-traitant. Le devoir de diligence exige des dirigeants d'identifier, de prévenir et de mettre en œuvre toutes les mesures nécessaires pour éviter ou atténuer l'impact d'une cyberattaque (source).
Selon l'ANSSI, les attaques par ransomware en 2022 étaient moins nombreuses mais plus critiques dans leur impact. La montée en puissance du télétravail depuis la pandémie a considérablement augmenté les opportunités d'accès non autorisé aux systèmes (Rapport 2022 de l'ANSSI). Le marché de l'assurance cyber continue de croître, en partie grâce aux investissements accrus dans la sécurité des systèmes d'information au cours des dernières années, qui commencent à porter leurs fruits (Rapport 2024 de l'AMRAE). En effet, selon le Baromètre de la cybersécurité 2024 pour les entreprises par Opinionway pour Cesin, le taux global de cyberattaques réussies est resté stable, avec 87 % des entreprises exprimant leur confiance dans les solutions de sécurité disponibles telles que l'authentification multifactorielle, les pare-feu, les systèmes de détection et de réponse aux points de terminaison (Rapport 2024 de Cesin).
De plus, le RGPD a eu un impact majeur sur la gestion des données. Les institutions financières, qui manipulent de grandes quantités de données personnelles sensibles, ont dû renforcer leurs mesures de sécurité et de conformité pour prévenir les violations de données, augmentant ainsi le risque pour les dirigeants en cas d'incident.
WTW: Quels risques D&O prévois-tu devenir significatifs à l'avenir et cela diffère-t-il entre les institutions financières mondiales et les organisations commerciales?
RS: La Responsabilité Sociale des Entreprises reste une préoccupation majeure et devrait devenir un risque de plus en plus significatif à l'avenir. Des rapports comme ceux d'Oxfam sur l'impact climatique des banques soulignent l'urgence de réformer les pratiques bancaires pour relever les défis climatiques. Les institutions financières semblent être sous une surveillance publique intense. La RSE était également un thème central dans le rapport 2022 de l'AMF sur la gouvernance d'entreprise et la rémunération des dirigeants, et elle a été intégrée dans la dernière version du code AFEP-MEDEF (Rapport 2022 de l'AMF). Le Haut Comité de Gouvernance d'Entreprise en France a également identifié les sujets de RSE comme des domaines clés de concentration pour l'année à venir (Rapport 2023 du Haut Comité).
La cybersécurité restera certainement une priorité à l'avenir. Dans son rapport de novembre 2023, le Haut Comité de Gouvernance d'Entreprise en France a indiqué que la cybersécurité reste l'un des principaux domaines de concentration pour l'année à venir (Rapport 2023 du Haut Comité).
Le comité a souligné "la menace croissante des cyberattaques ayant un impact significatif qui pourrait même compromettre la survie des entreprises. Ces entreprises peuvent devenir des cibles non seulement pour les cybercriminels mais aussi pour les acteurs étatiques. Dans ce contexte de risque accru, les dirigeants doivent rester informés des mesures en place pour prévenir les cyberattaques et être prêts à répondre de manière appropriée en cas d'incident."
Selon le panorama des menaces cyber 2023 de l'ANSSI, le niveau des menaces cyber continue d'augmenter au milieu des nouvelles tensions géopolitiques et des événements internationaux en France. L'ANSSI identifie "les attaquants liés à la Chine, à la Russie et à l'écosystème cybercriminel comme les trois principales menaces, ciblant à la fois les systèmes d'information critiques français et l'infrastructure de cybersécurité nationale dans son ensemble" (source).
Cela se reflète également dans le Baromètre des Risques 2024 d'Allianz, où les incidents cyber (cybercriminalité, interruptions de réseau et de service informatique, logiciels malveillants/ransomware, violations de données, amendes et pénalités) sont identifiés comme le principal risque en France (Rapport 2024 d'Allianz). Le baromètre de la cybersécurité 2024 pour les entreprises par Opinionway pour Cesin montre une augmentation des risques associés à l'utilisation non autorisée du cloud et à l'informatique fantôme, avec 82 % des responsables de la sécurité de l'information signalant cette tendance. Le développement de l'IA intensifie le besoin d'adapter les solutions de sécurité. Par conséquent, la proportion d'entreprises disposant de programmes de formation aux crises cyber augmente, avec 57 % des entreprises réalisant ces exercices plus fréquemment (Rapport 2024 de Cesin).
À la lumière des récents événements internationaux, les contrôles des exportations et les sanctions économiques continuent d'évoluer de manière complexe. L'Union européenne a mis en œuvre une série de sanctions contre la Russie, y compris des interdictions d'exportation de biens et de technologies (source). L'application de ces contrôles et restrictions repose sur une surveillance rigoureuse par les autorités douanières. En cas de violations des réglementations financières avec des entités étrangères, des sanctions peuvent être appliquées en vertu du code des douanes (Article 459 du code des douanes). De plus, la Directive 2024/1760 sur le devoir de vigilance met également en évidence les obligations de diligence raisonnable liées aux exportations (Considérants 25 de la CSDDD).
Les dirigeants et les administrateurs doivent garantir la conformité avec ces réglementations complexes en cartographiant leur exposition directe et indirecte aux pays concernés et en mettant en œuvre des politiques internes et des procédures de conformité. Cela inclut la réalisation d'une diligence raisonnable approfondie sur leurs partenaires commerciaux pour s'assurer qu'ils n'engagent pas d'entités sanctionnées, que ce soit directement ou indirectement.
La Commission européenne conseille également d'incorporer des clauses contractuelles spécifiques dans les accords d'importation et d'exportation. Ces clauses doivent obliger toutes les parties à se conformer aux réglementations de sanctions applicables et à vérifier que les biens impliqués ne sont pas soumis à des restrictions d'exportation (source).
WTW: Quels sont, selon vous, les plus grands défis pour les entreprises dans la gestion de l'exposition D&O?
RS: Les dirigeants et les administrateurs doivent naviguer dans un environnement réglementaire de plus en plus complexe. Par exemple, les exigences en matière de RSE ont évolué de simples rapports à des divulgations non financières obligatoires, puis à l'adoption de la loi PACTE et du devoir de vigilance au niveau européen. Des réglementations comme MiFID II et son règlement délégué ajoutent à cette complexité, augmentant les risques de responsabilité pour les dirigeants.
Les entreprises sont confrontées à des risques émergents, en particulier les cyberattaques et les violations de données, qui nécessitent des mesures de protection de plus en plus sophistiquées. Les dirigeants et les administrateurs sont responsables de s'assurer que des systèmes de sécurité adéquats sont en place pour protéger les informations sensibles. De plus, de nouveaux défis liés à l'intelligence artificielle (IA) introduisent des vulnérabilités supplémentaires. L'intégration d'outils d'IA dans les systèmes existants peut créer de nouveaux points d'entrée pour les cybercriminels. De plus, l'IA peut générer des sorties inexactes si les données d'entraînement sont biaisées. Les dirigeants peuvent avoir du mal à évaluer et à divulguer avec précision les risques associés à l'IA, les exposant potentiellement à une responsabilité (source).
La gestion des risques D&O est encore compliquée par des fluctuations significatives des primes d'assurance. De plus, les réclamations D&O les plus graves prennent en moyenne cinq ans à être réglées. Cela signifie que les réclamations importantes déposées en 2023 ne seront peut-être pas résolues avant 2028, compliquant encore la planification et la gestion des risques pour les entreprises (source).
WTW: Comment pensez-vous que les entreprises peuvent maximiser leurs récupérations d'assurance D&O?
RS: Pour maximiser les récupérations d'assurance D&O, les entreprises doivent s'assurer d'une conformité claire avec les réglementations et les meilleures pratiques. Il est crucial de réviser et de mettre à jour régulièrement les polices d'assurance pour les aligner avec les risques émergents, tels que la cybersécurité et les préoccupations ESG.
De plus, les entreprises devraient s'engager dans une communication proactive avec les assureurs et envisager d'impliquer un conseil juridique dès le début du processus pour naviguer dans les éventuels litiges de couverture.
Selon l'enquête éclair AMRAE sur les renouvellements de 2024, 67 % des gestionnaires de risques ont ajusté leur couverture en améliorant les garanties existantes, en achetant de nouvelles garanties ou en modifiant les niveaux de franchise. Bien que la proportion de risques exclus ait généralement été stable, des augmentations ont été signalées dans certains domaines, y compris les risques de responsabilité (37 % des répondants) (Enquête éclair AMRAE 2024).
WTW: L'enquête mondiale de WTW sur les directeurs et les administrateurs cette année a montré un grand changement par rapport aux années précédentes, avec le sujet de la "Santé et Sécurité" apparaissant comme la principale préoccupation en matière de risque pour les directeurs et les administrateurs. Même pour le secteur de la finance et de l'assurance, la Santé et Sécurité apparaît comme le quatrième risque pour les directeurs sur 28 (n'ayant pas été dans les sept premiers l'année dernière pour le secteur de la finance et de l'assurance). Cela reflète-t-il vos attentes et quelle pourrait être la raison de ce changement?
RS: L'importance croissante des risques liés à la "Santé et Sécurité" dans les préoccupations des directeurs et des administrateurs reflète plusieurs tendances récentes
La pandémie de COVID-19 a mis en lumière l'importance critique des politiques de santé et de sécurité au sein des entreprises. Cela a conduit les directeurs et les administrateurs à prioriser ces questions pour mieux se préparer aux défis futurs.
Le cadre réglementaire est strict en matière de santé et de sécurité, avec des obligations telles que le Document Unique d'Évaluation des Risques (DUER) que toutes les entreprises doivent posséder. Le non-respect de ces obligations peut entraîner des sanctions civiles, pénales et administratives.
Avec l'adoption généralisée du télétravail et une sensibilisation accrue aux problèmes de santé mentale, il y a une pression accrue sur les entreprises pour garantir un environnement de travail sain et sûr. Par exemple, la Commission européenne a lancé une campagne de deux ans sur la santé et la sécurité à l'ère numérique, explorant des domaines prioritaires tels que le télétravail (campagne de l'UE). Ces initiatives montrent que les préoccupations en matière de santé et de sécurité s'étendent désormais au-delà de la prévention des accidents physiques pour inclure des domaines plus larges tels que la santé mentale.
WTW: Pensez-vous que l'IA sera un risque matériel pour les D&O au cours des trois prochaines années ? Pourquoi ou pourquoi pas?
RS: Étant donné son développement rapide et les défis qu'elle représente, l'IA est presque certainement destinée à devenir un risque pour les dirigeants et les administrateurs, peut-être pas immédiatement dans les prochaines années, mais dans un avenir proche.
Plus les entreprises commencent à utiliser l'IA, plus elles devront assumer la responsabilité des conséquences négatives de son utilisation. La Commission européenne prévoit de soutenir l'investissement dans les technologies innovantes en garantissant la certitude juridique pour les entreprises, mais aussi de protéger les individus en garantissant une compensation équitable en cas de dommages causés par l'IA. (source)
À ce jour, l'un des textes les plus réussis de la Commission est la proposition de loi sur l'intelligence artificielle, publiée le 21 avril 2021. Elle vise à interdire l'IA présentant des risques jugés inacceptables, à soumettre l'IA à haut risque à une obligation de conformité et l'IA à faible risque à une obligation de transparence. (source) Le 23 septembre 2022, l'Union européenne s'est rapprochée de l'adoption d'un régime de responsabilité en matière d'IA, en adoptant une proposition de modification de la directive 85/374/CEE du 25 juillet 1985 sur la responsabilité des produits défectueux et une proposition de directive adaptant les règles de responsabilité civile non contractuelle au domaine de l'intelligence artificielle. (source) Ces obligations représentent des points de vigilance supplémentaires pour les dirigeants et les administrateurs, auxquels leur attention doit être attirée.
Dans tous les cas, si l'IA prenait vraiment sa place au conseil d'administration, il est concevable que l'IA soit programmée pour agir prudemment et se conformer strictement aux réglementations applicables. La capacité de l'IA à analyser rapidement de grandes quantités d'informations pourrait peut-être répondre aux contraintes de temps auxquelles les administrateurs individuels sont soumis.
La Commission européenne prévoit de soutenir l'investissement dans les technologies innovantes en garantissant la certitude juridique pour les entreprises, mais aussi de protéger les individus en garantissant une compensation équitable en cas de dommages causés par l'IA. (source)
Daniel est associé au bureau de Paris de Reed Smith et membre du conseil de l'entreprise, le Comité Exécutif. National français et allemand, sa pratique se concentre sur le droit commercial, la responsabilité et les questions réglementaires.
