Res­pon­sa­bi­lité des en­tre­prises (D&O), un risque émer­gent

Contexte

Le risque que les membres des instances dirigeantes et autres organes décideurs des entreprises voient leur responsabilité engagée s’est accru ces dernières années. Ce phénomène s'explique par la complexité accrue de la législation du fait de la multiplication des dispositions.

Pour se protéger contre les demandes de dommages et intérêts résultant d'une responsabilité insuffisamment assumée, les entreprises peuvent souscrire une assurance de la responsabilité civile dite des organes ou des dirigeants (Directors and Officers Liability Insurance). Une telle couverture est indiquée afin d’éviter qu’en cas de litige, les dirigeants, les membres des conseils d’administration ou d’autres instances (assemblée générale, organe de révision) ne soient tenus de répondre de leurs actes sur leur fortune privée en tant que personnes physiques. Les entreprises actives à l’international, en particulier, s'exposent à un risque de responsabilité accru, car les activités exercées sous des systèmes juridiques étrangers moins connus comportent de nombreuses incertitudes. Seuls les dirigeants les plus téméraires renonceront donc à souscrire une assurance D&O en dépit des activités exercées par leur entreprise à l'étranger.

 

Description du risque

La « responsabilité des entreprises » est communément assimilée – probablement en souvenir de la cam-pagne de votation en faveur de l'initiative pour des multinationales responsables  – à la responsabilité engagée en cas de dommages environnementaux ou d’atteintes aux droits humains. Mais la responsabilité des multinationales revêt bien d'autres facettes encore. Pour une entreprise, un comportement qualifié de responsable ne porte pas uniquement sur l’exercice de son activité proprement dite, mais aussi sur des aspects écologiques significatifs (durabilité, protection de l’environnement), des aspects en termes de postes de travail (relations avec les collaborateurs) ou sur l'échange avec les principaux groupes d'intérêts (parties prenantes comme les clients, les actionnaires, les fournisseurs).

Les décideurs d'une entreprise, concrètement les membres de la direction ou du conseil d'administration, sont légalement tenus  de prendre leurs décisions dans l'intérêt de l'entreprise.

 

Perception du risque

Le scandale des gaz d'échappement (Dieselgate), les intoxications aux pesticides ou l'élimination inappropriée de déchets toxiques à l'étranger, l'esclavage moderne (travail des enfants, exploitation des travailleurs dans les mines) et autres violations des droits humains (par exemple privatisation de l'eau potable) ou encore le procès climatique intenté contre Shell  ont sensibilisé la population à la responsabilité sociale des entreprises. Même si l'objectif principal d'une entreprise demeure le profit, la maximisation des bénéfices est relativisée par les attentes des parties prenantes, qui souhaitent que l’entreprise exerce son activité dans le respect des aspects éthiques et de manière aussi durable que possible.

Il est toutefois intéressant de noter que la plupart des actions en responsabilité civile sont engagées en raison de pertes financières subies par les actionnaires ou les créanciers, et non en raison de demandes d'indemnisation liées aux actes (moralement répréhensibles) mentionnés ci-dessus. Les actions en responsabilité intentées par des actionnaires ou des créanciers ne jouent évidemment qu'un rôle secondaire dans l’esprit du public, car elles sont rarement médiatisées, contrairement aux scandales environnementaux.

 

Pertinence en matière de responsabilité civile

Les membres du conseil d'administration ainsi que l’ensemble des personnes impliquées dans la direction de l’entreprise ou sa révision (organes) peuvent être tenus personnellement responsables des dommages qu'ils causent en enfreignant leurs obligations.

Il existe de nombreux cas dans lesquels la responsabilité d'un responsable peut être engagée. Exemples possibles :

  • absence d'appels d'offres,
  • absence d'autorisations fournies par d'autres instances,
  • non-respect des directives des associés,
  • gestion des risques déficiente,
  • prises de mauvaises décisions,
  • erreurs dans le bilan,
  • corruption,
  • détournement de fonds et fraude,
  • infractions aux règles de la concurrence ou en matière de conformité,
  • absence d'étude de marché,
  • acquittement de factures alors que l'entreprise est déjà en faillite,
  • fraudes fiscales ou fraudes concernant les cotisations aux assurances sociales,
  • non-respect du devoir d'assistance prévu par le droit du travail (par exemple harcèlement moral [mobbing] / ou sexuel [sex tortion] d'employés),
  • licenciements injustifiés.

Essentiellement en cas de faillite d'une entreprise, la responsabilité relevant du droit des sociétés anonymes risque de retomber sur ses instances.

Un exemple récent illustre à quel point la frontière peut être ténue entre une bonne et une mauvaise décision : une entreprise doit-elle se retirer du marché russe en raison du conflit en Ukraine ? Si la direction de l’entreprise prend une décision en ce sens, elle court alors le risque de se voir expropriée et dépossédée de son activité, qui sera alors reprise par l'État russe. Si cette même direction décide de ne rien faire, elle prend le risque d'une détérioration de son image de marque et, probablement, d'une défection des clients ou des investisseurs. C'est un vrai dilemme :
Quelle que soit la décision prise, les dirigeants de l’entreprise s'exposent à se voir potentiellement reprocher d'avoir pris une mauvaise décision.

En quoi la responsabilité des multinationales constitue-t-elle un risque émergent ?
Le risque que les membres des instances dirigeantes et autres organes décideurs des entreprises voient leur responsabilité engagée s’est accru ces dernières années. Ce phénomène s'explique par la complexité accrue de la législation du fait de la multiplication des dispositions, mais aussi par les risques nouveaux tels que les pandémies, les cyberattaques, la numérisation, la protection des données ou le changement climatique (ou par la prise de conscience de ces risques). Par ailleurs, depuis quelque temps, la problématique de la durabilité gagne en importance, que ce soit au niveau de la production, du transport, des chaînes d'approvisionnement, des investissements, voire des clients finaux.

Les sociétés d’acquisition ad hoc encore appelées sociétés d’acquisition à vocation spécifique (Special Purpose Acquisition Companies, SPAC) constituent un nouveau risque pour les dirigeants de voir leur responsabilité engagée. Une SPAC est une société fictive créée dans le seul but d’acquérir une société cible non cotée. La SPAC lève d'abord des capitaux par le biais d'une introduction en bourse (offre publique initiale, IPO). Elle investit ensuite les capitaux levés dans l'acquisition d'une société cible, cette dernière étant cotée en bourse dans le cadre de l'acquisition (de-SPAC).  D’origine américaine, ces véhicules financiers peuvent être cotés et négociés à la SIX Swiss Exchange depuis le 6 décembre 2021, date à laquelle les marchés étaient d’ailleurs déjà volatils (en raison de la pandémie).

Ci-après, quatre exemples illustrent dans quelle mesure ces véhicules financiers risquent d’engager la responsabilité des entreprises.

Exemple de risques liés à la pandémie
Il ressort de l’expérience actuelle que le secteur du tourisme (hôtellerie, restauration), l'aviation, l'industrie automobile (chaînes d'approvisionnement interrompues) ou le secteur de l'événementiel, par exemple, ont été fortement impactés par les effets secondaires de la pandémie. Les dirigeants pourraient se voir reprocher de n’avoir pas été capables de réagir à temps et, par exemple, de n’avoir pas misé sur une deuxième activité ni reconstitué les stocks pour amortir les pertes.

Ou encore, cela concerne tous les secteurs, les employés reprochent à leur entreprise une mauvaise application des mesures sanitaires pendant la pandémie, le non-respect de son devoir d’assistance ou de la protection des données.

Il y a aussi des dossiers où le personnel navigant, licencié pour ne pas avoir voulu se faire vacciner, a porté plainte contre la compagnie aérienne en invoquant un licenciement abusif. Des parties prenantes revendicatrices pourraient également reprocher à la direction que ces licenciements ont été effectués à tort et qu'ils ont eu pour conséquence l’annulation de plusieurs vols en raison d'un manque de personnel, ce qui s’est répercuté négativement sur le résultat d’exploitation.

Exemple de cyberrisques
Du fait de la numérisation, de plus en plus de données – même extrêmement sensibles – sont stockées sur un serveur ou dans le cloud (nuage). Ces serveurs sont reliés électroniquement en réseau, ce qui permet aux pirates informatiques d'accéder aux données et de les télécharger. Elles peuvent alors être utilisées de manière abusive : être revendues, servir de monnaie d’échange pour faire chanter leurs propriétaires ou être exploitées pour ternir la réputation d’une personne. Par ailleurs, les cyberattaques sont dangereuses aussi parce qu’elles permettent la manipulation de systèmes informatiques entiers ou leur mise hors service.

Aujourd’hui, nous dépendons tous de l'informatique et sommes donc tous vulnérables. De nos jours, une entreprise de services est contrainte de cesser ses activités si son système informatique ne fonctionne plus. Une direction qui ne prend aucune mesure pour protéger son entreprise contre les cyberattaques, l’hameçonnage (phishing) ou les virus agit, dans la conception actuelle des choses, à l’encontre de la prudence la plus élémentaire et risque de voir sa responsabilité engagée en cas de dommages de ce type.

Exemple de risques liés à la durabilité
Les critères ESG sont devenus la norme en matière de placements durables (sustainable finance).
ESG est l’abréviation de « environmental, social and governance » (environnement, social, gouvernance d'entreprise) et signifie quelque chose comme « responsabilité sociale de l'entreprise » (Corporate Social Responsibility). En résumé, la responsabilité sociale de l'entreprise recouvre un comportement entrepreneurial responsable qui intègre, de son propre chef , des préoccupations sociales et environnementales dans l’exercice de son activité et ses interactions avec les groupes d'intérêts et les parties prenantes.  Dans l'idéal, un comportement responsable de l'entreprise se reflète aussi dans le choix des investissements qu’elle réalise.

Si la direction d'une entreprise « oublie » d'aligner sa stratégie sur les critères ESG, elle risque de voir ses investisseurs faire défection ou que cette omission porte atteinte à son image de marque. Dans les deux cas, cela constituerait des éléments engageant la responsabilité D&O.

Exemple de SPAC
Comme nous l'avons vu plus haut, les SPAC sont des véhicules financiers, sorte de « sociétés de chèque en blanc » , qui servent à racheter une entreprise déjà établie et à l'introduire rapidement en bourse. Ces véhicules de placement reposent sur des structures de gouvernance et de rémunération complexes. L'évaluation des risques concernant les rendements attendus, qui évoluent au cours du cycle de vie de la SPAC, nécessite aussi une analyse approfondie. En outre, la direction de l'entreprise rachetée demeure en place et doit s'adapter, pour ainsi dire « du jour au lendemain », aux exigences en matière d’obligations de reporting et de transparence du marché des capitaux. Il va de soi que ce phénomène s'accompagne de risques accrus en responsabilité civile. La situation devient encore plus délicate lorsque l’entreprise se retrouve subitement entretenir un lien avec les États-Unis du fait de cette reprise. Premièrement, les actionnaires américains portent de plus en plus souvent plainte contre des sociétés étrangères.

Deuxièmement, la SEC, l'autorité de surveillance des marchés financiers américains, entend mettre un terme aux dérives des introductions en bourse d’entreprises aux coquilles vides en adoptant des règles plus strictes. À l’avenir, il faut que les investisseurs dans de telles SPAC soient aussi bien protégés que dans le cas d'une introduction en bourse normale (IPO).

 

Pertinence en matière d'assurance de la responsabilité civile

La responsabilité des dirigeants signifie que les dirigeants doivent assumer la responsabilité financière des erreurs commises. Afin qu'ils ne soient pas amenés à répondre sur leur propre patrimoine privé, l'employeur peut conclure une assurance responsabilité civile d’organes. Également appelée assurance D&O (Directors and Officers), cette assurance protège le patrimoine privé des membres de la direction et de ceux du conseil d'administration.

Les préjudices intentionnels tels que la gestion déloyale ne sont bien entendu pas couverts par l'assurance D&O. Dans le cadre du procès de Raiffeisen, Pierin Vincenz a été condamné pour divers délits contre le patrimoine , raison pour laquelle l'assurance D&O ne doit en principe pas prendre en charge les dommages causés. Toutefois, elle pourrait tout de même être tenue de fournir des prestations. En effet, si les irrégularités commises par l’ancien CEO de Raiffeisen auraient dû être détectées par le conseil d'administration ou l'organe de révision s’ils avaient témoigné de la diligence requise, alors ces manquements relèveraient bel et bien de l'assurance D&O.

Le risque D&O n'a cessé de croître ces dernières années. Les exigences accrues en matière de protection des données, de numérisation et nouvelles technologies, de cyberattaques, de changement climatique, mais aussi le mouvement « #MeToo » ont aiguisé la situation en responsabilité civile et rendu possible l’élévation de nouvelles prétentions en assurance D&O. La couverture D&O a donc nettement gagné en importance.

Même si l'initiative sur la responsabilité des entreprises a échoué en Suisse à la majorité des cantons, la tendance au niveau de l'UE va dans le sens d'un net durcissement des règles. Il faut s’attendre à ce que la Suisse soit obligée de suivre cette évolution. Pour les assurances de la responsabilité civile, cela pourrait signifier qu’elles se verront de plus en plus confrontées à des plaintes élevées à l'étranger. Il convient également de se demander si une entreprise présente d'une manière ou d'une autre une exposition aux États-Unis, c'est-à-dire si elle entretient un lien commercial avec les États-Unis qui pourrait déclencher l’élévation de prétentions en D&O. Comme vous le savez, les demandes de dommages-intérêts formulées aux États-Unis s’élèvent généralement à un multiple de ce qui est réclamé en Suisse, et les victimes potentielles y sont en outre beaucoup plus promptes à porter plainte.

Au regard de la large palette de constellations imaginables en matière de responsabilité civile, il est devenu de plus en plus difficile pour les compagnies d'assurances d'évaluer les risques potentiels. Il convient de se de-mander si les assurances sont armées pour y faire face, et si les primes incluent également les risques en partie cachés. Une chose est sûre : le service souscription doit se montrer beaucoup plus pointilleux en assurances D&O (application du principe « Connais bien ton client », « know your customer »), ce qui pourrait conduire à des exclusions ponctuelles dans certains contrats. En Allemagne, ce phénomène a déjà entraîné des augmentations drastiques des primes des polices D&O , et certains assureurs se sont retirés du marché de l'assurance responsabilité civile des dirigeants.

 

Horizon temporel pour les prétentions assurées

Une caractéristique particulière des prétentions découlant d'une gestion négligente de ces assurances réside dans le laps de temps important entre la naissance des prétentions et leur élévation. Cet aspect complique encore l'évaluation du risque actuariel.

Définition «risques émergents»

Les nouvelles technologies et l’évolution de la société moderne sont porteuses de nouvelles opportunités, mais aussi de nouveaux risques. Ces risques d’un nouveau genre concernent notre vie future. Du fait de leur évolution dynamique, ils sont difficiles à identifier et à évaluer; c’est ce que l’on appelle les risques émergents. La notion de «risques émergents» n’est pas définie de manière uniforme. En assurance, elle désigne habituellement les risques possiblement susceptibles de survenir dans le futur et affichant une potentialité de sinistres élevée.