A tout juste un an d’intervalle, deux textes législatifs ont imposé aux entreprises de passer en revue leurs modes de fonctionnement et leurs relations avec sous-traitants, fournisseurs et clients. Dans les deux cas, l’implication du risk management est capitale.

Entrée en vigueur au 1er juin 2017, la loi Sapin 2 comprend un volet de mesures de prévention et de détection des faits de corruption et de trafic d’influence dans les entreprises. Le 25 mai prochain, le Règlement général sur la protection des données (RGPD) entrera en application.

En moins de douze mois, ces deux textes ont imposé des diagnostics de risques et leur prévention. Dans les deux cas, le diagnostic va au-delà des frontières de l’entreprise, et du territoire français. « La loi Sapin 2 et le RGPD ont des répercussions sur les pratiques du risk manager. Celui-ci doit se saisir de chacun des deux projets », souligne François Beaume, administrateur de l’AMRAE.

L’élaboration de la cartographie des risques de corruption fait partie des obligations imposées par la loi Sapin 2, ce qui a nécessité une grande implication du risk manager. « Il n’y aucune question sur la légitimité méthodologique du risk manager à intervenir dans le projet de mise en place de la loi Sapin 2. Au contraire, ce texte légitime même son rôle », estime François Malan, vice-président de l’Amrae.

« J’ai mené des interviews en face à face pour comprendre de manière très concrète les cas pratiques où les responsables opérationnels ont pu être confrontés, ou pas, à des tentatives de corruption. Des réunions en groupe ont ensuite permis d’échanger sur les bonnes pratiques. Au final, le risk management a pu élaborer des scénarios à risques, et les parades à adopter », explique François Malan.

La mise en place des obligations introduites par le texte anti-corruption, pour laquelle le risk manager a dû pleinement s’impliquer, peut même constituer une opportunité. « Avec la loi Sapin, le risk management s’attache pleinement aux questions de conformité. Celle-ci est parfois déjà prise en charge par une direction dédiée. Dans le cas contraire, le département du risk management, grâce à son positionnement transverse, peut aussi voir étendre ses responsabilités à la conformité. Cela a été le cas dans mon entreprise », poursuit le vice-président. « Sur le projet RGPD, le risk manager est moins en pointe. Il a toutefois un rôle essentiel dans l’identification des risques liés aux données personnelles et dans la mise en place d’une assurance permettant de couvrir les risques, notamment ceux qui sont liés au vol de ces données », ajoute François Malan.

« Les nouvelles obligations introduites par le RGPD créent de nouveaux risques et changent le profil de risque pré-existant. Le risk manger a donc un rôle essentiel, même s’il est rarement pilote du projet de mise en place du règlement », confirme François Beaume. Le risk manager va, là encore, travailler sur la mise à jour de la cartographie des risques, et modifier le programme d’assurances de la société s’il en a la charge. Il sera le mieux placé pour inventorier tout ce qui est assurable dans le cadre d’une police cyber.

« L’année dernière, l’Amrae a mis en place un groupe de travail et d’échanges sur le thème du RGPD. Un cahier technique sur ce thème va être diffusé à l’occasion des Rencontres à Marseille », annonce François Beaume. Histoire d’avoir toutes les cartes en mains avant l’entrée en vigueur du réglement.