Toltec

Les grandes entreprises vont être plus vigilantes dans le contrôle et le suivi de la conformité de leurs tiers par la collecte et l’authentification des informations disponibles auprès des tiers eux-mêmes, d’institutions privées et publiques et d’agences de notation.

La démarche conduisant à l’obtention d’une notation Ecovadis de qualité devrait permettre de sécuriser l’exécution des processus internes en alimentant les équipes de règles structurées, tout en instruisant une piste d’audit probante.

Cela permettra de faciliter les réponses aux questionnaires extras-financiers mais également d’afficher un bon niveau de maturité.

1. Le reporting de durabilité deviendra plus exigeant en 2024

La directive européenne Corporate Sustainability Reporting Directive (CSRD) est entrée en vigueur le 1er janvier 2024 pour les entreprises qui sont aujourd’hui assujetties à la NFRD et qui publient donc une déclaration de performance extra-financière (DPEF).

Entrée en vigueur en 2017, la directive NFRD oblige les grandes entreprises cotées sur les marchés de l’UE ainsi que les entreprises non cotées qui dépassent certains seuils de taille à publier des informations extra-financières dans leur rapport annuel couvrant plusieurs volets :

• Protection de l’environnement ;
• Responsabilité sociale et traitement des collaborateurs ;
• Respect des droits de l’Homme ;
• Lutte contre la corruption ;

La CSRD résulte d’une vaste révision de la NFRD par la Commission Européenne. En plus d’élargir le champ d’application du reporting extra-financier (50 000 entreprises à l’échelle européenne), la CSRD établit des passerelles avec d’autres dispositifs et objectifs stratégiques de l’UE, notamment le Pacte Vert pour l’Europe et l’objectif de neutralité carbone à l’horizon 2050.

Le calendrier d’application s’étale entre 2024 (avec un reporting en 2025) et 2028 :

• 1er janvier 2024 : entreprises concernées par la NFRD ;
• 1er janvier 2025 : toutes les grandes entreprises européennes qui remplissent deux des trois critères suivants : 250 salariés ou plus, CA supérieur ou égal à €40M, total bilan supérieur ou égal à €20M ;
• 1er janvier 2026 : PME cotées sur un marché réglementé (hors microentreprises) ;
• 1er janvier 2028 : grandes entreprises non-européennes dont le CA européen est supérieur à €150M.

• En attendant Sapin III, se conformer au 4e pilier de Sapin II

Dans le détail, la loi a introduit plusieurs mesures fortes pour atteindre ses objectifs et aligner la France sur les normes internationales en matière de lutte contre la corruption :

• Création de l’Agence Française Anticorruption (AFA), chargée de prévenir et de détecter les actes de corruption, de vérifier la mise en place de programmes de prévention de la corruption dans les entreprises, et de sanctionner les manquements ;
• Renforcement de la protection des lanceurs d’alerte en leur garantissant une meilleure protection juridique, en créant un statut pour les lanceurs d’alerte et en instaurant des mesures de prévention des représailles ;
• Instauration d’une obligation de mise en place de programmes de prévention de la corruption pour les entreprises de plus de 500 salariés, ainsi que pour les entreprises exerçant des activités réglementées ou bénéficiant de marchés publics ;
• Élargissement du champ d’application des règles de transparence pour les représentants d’intérêts (lobbyistes) exerçant une représentation auprès des pouvoir publics, qui sont désormais tenus de s’inscrire sur un registre et de déclarer l’ensemble de leurs activités ;
• Création d’un dispositif de transaction pénale pour les entreprises ayant commis des faits de corruption, permettant d’éviter un procès pénal en contrepartie d’une amende et de mesures correctives.

Par construction, la loi Sapin II concerne les acteurs suivants :

• Les entreprises de plus de 500 salariés réalisant un chiffre d’affaires de plus de 100 millions d’euros ;
• Les sociétés appartenant à un groupe dont la maison-mère siège en France ;
• Les entreprises publiques et les établissements publics à caractère industriel et commercial (EPIC) ;
• Les associations et fondations qui exercent des activités économiques ;
• Les organisations syndicales et professionnelles ;
• Les représentants d’intérêts (lobbyistes) qui exercent une activité de représentation auprès des pouvoirs publics ;
• Les élus, les hauts fonctionnaires et les magistrats.

Si elle a été saluée comme une avancée majeure dans la lutte contre la corruption et la fraude, la loi Sapin II a montré ses limites, résumées notamment par un rapport d’évaluation publié le 7 juillet 2021 par la Commission des lois :

• La complexité des procédures ;
• Le manque de moyens de l’AFA ;
• Les difficultés à sanctionner les entreprises étrangères et la faiblesse des peines encourues ;
• L’échec de la réforme du registre des représentants d’intérêts ;
• Le parcours des lanceurs d’alerte est parfois long, coûteux et périlleux.

C’est pour ces raisons qu’une proposition de loi avait été déposée le 19 octobre 2021 pour amender la loi Sapin II et aboutir à une troisième mouture.

Les entreprises concernées devront donc préparer le renforcement très probable du cadre réglementaire de la lutte anti-corruption en France, en commençant par le 4e pilier de l’article 17 relatif à l’évaluation des tiers. Selon le 3e Baromètre Anticorruption de Grant Thornton, il s’agit du « pilier de la loi Sapin II le moins mature et le plus difficile à mettre en œuvre pour les entreprises ». 

Comme l’explique le rapport d’activité de l’Agence Française Anticorruption (AGA) publié en mai 2022, l’écrasante majorité des contrôles clôturés (91 %) présentent un manquement au niveau du dispositif d’évaluation des tiers dans le cadre de la loi Sapin II.

• 2024, l’année de la cybersécurité

En tant que bouclier contre les actes de malveillance, la cybersécurité s’inscrit de plus en plus comme un enjeu RSE. Elle protège les données confidentielles des clients, des fournisseurs et des employés, préserve la compétitivité et la pérennité de l’entreprise (et des emplois) et vient sécuriser les informations collectées dans le cadre de l’évaluation des tiers, notamment.

Globalement, la cybersécurité migre progressivement du champ de l’informatique à celui de la RSE. Avec la transformation digitale des entreprises, l’impact d’une cyberattaque dépasse le système informatique. « Pensons aux données clients qui s’évanouissent dans la nature, aux hôpitaux ou aux transports publics paralysés […]. Placer la cybersécurité dans les risques de gouvernance, de société et d’environnement va lui donner une autre dimension qui ne la réduira plus à un problème informatique auquel on s’habitue », explique le conférencier Charles Cuvelliez .

L’arrivée en masse des solutions alimentées par l’Intelligence Artificielle générative (genAI) dans l’entreprise devrait renforcer ce besoin de cybersécurité.

• L’UE va renforcer le devoir de vigilance français

En complément, début juin 2023, le Parlement européen a voté en faveur de la Corporate Sustainability Due Diligence Directive (CSDDD) et prépare donc son alignement avec le devoir de vigilance entré en vigueur en France en 2017.

En substance, le principe reste le même : les entreprises d’une certaine taille seront désormais juridiquement responsables sur les violations du droit du travail et des droits de l’Homme ainsi que des atteintes graves à l’environnement commises par leurs fournisseurs et sous-traitants.

L’adoption finale de la directive est prévue pour juin 2024, et la France aura deux ans pour adapter sa loi sur la vigilance.

Compte tenu de la longueur moyenne de la chaîne d’approvisionnement d’une grande entreprise, les efforts de mise en conformité devront sans doute se mettre en branle dès 2024, d’autant plus que le texte européen semble plus ambitieux que la mouture française.

Le 31 mars 2021 marquera la fin du délai de clémence accordé par la CNIL aux entreprises pour se mettre en conformité avec les lignes directrices modificatives en matière de cookies et autres traceurs du 17 septembre 2020.

Fin 2020, trois délibérations rendues par la formation restreinte de la CNIL les 18 novembre, 7 et 8 décembre 2020 à l’encontre des sociétés CARREFOUR FRANCE, PERFORMECLIC et NESTOR ont rappelé les principes et les limites dans l’utilisation des données collectées par le biais de cookies et autres traceurs, notamment les données vendues aux entreprises par les « data brokers » et celles fournies par les outils de prospection commerciale développés par les grands acteurs des technologies, dont l’outil « Sales Navigator » édité par LinkedIn.

Ce qu’il faut retenir de ses décisions :

• Le dépôt automatique de cookies marketing sans le recueil préalable du consentement de la personne n’est plus acceptable.
• En matière de prospection commerciale entre professionnels, la CNIL rappelle que l’existence d’un lien direct avec l’activité professionnelle des prospects est nécessaire pour justifier d’un intérêt légitime et dispenser l’entreprise d’un consentement du prospect.
• Les courriels de prospection commerciale à l’attention d’un particulier sans consentement et sans lien direct avec l’activité professionnelle de la personne sont illicites,
• L’émetteur des courriels doit être en mesure d’apporter la preuve du consentement de la personne, surtout si les données ont été achetées à un tiers et notamment un « data broker ». »
• Le consentement de la personne ne peut être valable que s’il est accompagné d’une information présentée de manière efficace et succincte, afin d’éviter de noyer l’information à délivrer parmi d’autres contenus informatifs de plusieurs dizaines de pages.
• Les « spammeurs » seront punis, même si ceux-ci sont des TPE et des PME, elles seront sanctionnées et pourront être soumises à des astreintes quotidiennes tant qu’elles ne seront pas en conformité.
• La CNIL sanctionnera les contrevenants en s’appuyant notamment sur les signalements transmis par l’association Signal Spam. Au cours du 4^ème trimestre 2020, 5 698 640 signalements ont été adressés par des internautes à l’association Signal Spam, dont 84,4 % de ceux-ci étaient relatifs à la prospection commerciale (lire le BAROMETRE_T4_2020.pdf (signal-spam.fr).

Ces délibérations et l’échéance du 31 mars 2021 augurent une mise sous pression sans précédent des acteurs et pratiques de marché en matière de marketing digital et de prospection commerciale.

Lire la suite sur le site Village Justice

Nous vivons une période inédite que personne n’avait anticipé, où beaucoup d’entreprises sont prises au dépourvu.

Même si nous avons aujourd’hui le sentiment que la Covid-19 est derrière nous, il n’est pas trop tôt pour se préparer aux prochaines surprises stratégiques. Pas tant parce que celles-ci vont se multiplier que pour des raisons qui tiennent à la nature du monde dans lequel nous vivons.

Dans un monde où nous devons nous attendre à l’inattendu, les entreprises doivent être plus réactives, mieux connaître leur marché, leurs clients et leurs capacités d’ajustement.

Le 1^er octobre 2018, j’initiais avec cette intention une initiative pour une donnée responsable, le projet TOLTEC DATA COMPASS. Dans ma recherche de partenaires pour m’accompagner dans cette initiative, j’ai beaucoup appris, rencontré de nombreuses personnes, vécu des expériences inédites … 

Le 27 août 2019, avec Jean-Marc Provent, co-fondateur, nous avons annoncé la création de CITIZEN SHIELD (voir la vidéo). 

Le 2 septembre 2019, citizen-shield.com a été mis en ligne, avec une présentation détaillée de nos services et du Label indépendant CITIZEN SHIELD que nous proposons désormais aux Organisations (entreprises, collectivités, associations,…) et aux experts de la donnée (Trusted Partners), en liaison avec la CNIL.

L’ambition de CITIZEN SHIELD est de :

1. fédérer Citoyens, Organisations et Trusted Partners autour du Label CITIZEN SHIELD ;
2. mettre à la disposition des Organisations et des Trusted Partners des outils et un programme de conformité
3. par l’obtention du Label, valoriser les sommes conséquentes engagées par les Organisations pour leur conformité
4. aider les Citoyens à reprendre le contrôle de leurs données en les invitant à devenir Citizen Alerter

Pour mener à bien ce projet ambitieux, lire la suite …

Un DPO seul est un DPO en danger, il ne va pas disposer de la compétence technique nécessaire pour pouvoir expliquer à l’autorité en cas de contrôle, les dysfonctionnements qui ont été rencontrés. Il sera incapable d’agir et en plus il ne sera pas crédible ni pour le management de l’organisation ni pour l’autorité. Le DPO et le RSSI sont non seulement complémentaires mais ils sont aussi les seuls à disposer de la compétence juridique et technique à même de protéger et de valoriser durablement l’organisation.

La première question que je pose à mes clients est quelle est votre vision stratégique et quelle y est la place des données ? Trop souvent les organisations ont une vision uniquement à court terme et insuffisamment à long terme. Le conseil : minimiser la collecte des données et plus particulièrement des données sensibles car les données sensibles sont celles qui sont les plus complexes et celles qui génèrent le plus d’obligations. En sachant que, aujourd’hui, je ne connais aucune organisation qui ne traite pas de données.

Retrouver les grandes lignes de l’interview sur le blog de Seald, et l’interview complète sur Medium.

Nous sommes le 25 mai 2019

Il y a exactement un an le RGPD entrait en application. Le RGPD est désormais incontournable, non seulement pour les autorités et les citoyens européens, mais surtout pour les grands acteurs de l’internet (Facebook, Twitter et Apple), qui sont désormais confrontés à des contentieux, des enquêtes et des utilisateurs inquiets.

Lire la suite …

BIG DATA, INTELLIGENCE ARTIFICIELLE, ENCEINTES CONNECTEES, RESEAUX SOCIAUX, RGPD, REGULATIONS, etc … et si nous prenions un peu de recul et respirions un peu ?

A l’heure de VIVA TECHNOLOGY, placée cette année sous le signe de la « TECH for GOOD », cette contribution est un appel au vivre ensemble, à plus d’humanité, de sourire, de respect et de modération, mais c’est aussi un hommage à l’association Respect Zone, ses bénévoles, ses ambassadeurs dans les établissements scolaires, à l’aventure et aux Aventuriers …

Lire la suite …

A l’occasion du premier anniversaire du RGPD, le Village de la Justice m’a sollicité pour livrer mon regard sur ce texte.

J’ai réalisé pour l’occasion une série de 5 vidéos intitulées « Le RGPD au Panthéon », pour célébrer ce texte décrié et moqué par certains acteurs, qui aujourd’hui est en train de devenir incontournable et essentiel dans la transformation de notre société, ce que confirment les messages de Mark Zuckerberg, Jack Dorsey et Tim Cook.

Cette contribution diffusée le 9 mai me permet de fêter la Journée de l’Europe, qui célèbre la paix et l’unité en Europe. Le 9 mai 1950, Robert Schuman, ministre des Affaires étrangères français, faisait une déclaration historique dans le salon de l’Horloge du Quai d’Orsay : il appelait à la mise en commun sous une autorité internationale des productions française et allemande de charbon et d’acier. La Journée de l’Europe est célébrée chaque année le 9 mai dans tous les pays européens pour rendre hommage à ce moment fondateur que fut le 9 mai 1950.

Lire la contribution et voir les vidéos

“Datacratie” ou “Datature”, deux néologismes dans l’intitulé de cette contribution, pour illustrer le pouvoir pris par les données et les risques dans l’utilisation qui en est faite dans notre société.

Bienvenue en “Datacratie”, une forme de démocratie moderne où tout est désormais accessible en un clic et sans effort, où chacun est libre d’exprimer son point de vue par un « like » ou un commentaire, où chacun est libre de créer son réseau ou de rejoindre un réseau existant en quelques clics.

Si la “Datacratie” peut être considérée comme une forme de démocratie moderne, elle nous interroge sur le pouvoir et la puissance de nos données, qui nous dépassent dangereusement, et qui, si nous n’y prenons garde nous conduisent vers une dictature de la donnée, que nous qualifierons de “Datature”. Bon nombre de nos convictions se forgent désormais sur les données que nous consultons, collectons et visionnons, celles-ci étant de plus en plus poussées par les algorithmes de recommandations des accélérateurs de contenus (réseaux sociaux et plateformes internet).

Lire la suite …

Rassembler dans une même contribution Carrefour, Manhattan et Jeanne d’Arc peut paraitre improbable, mais les trois furent, sont et resteront des symboles, des repères et des ambitions dans notre époque où tout va très vite.

J’ai trouvé Manhattan à Paris, Place Jeanne d’Arc dans le 13ème arrondissement, où une fresque temporaire a été peinte il y a quelques jours. En voyant cette fresque de Logan Hicks, j’ai pensé que le lieu était propice au tournage de cette 15ème contribution sur le thème de la “raison d’être”, une contribution qui m’a été suggéré par la lecture du communiqué de presse diffusé par Carrefour relatif à la proposition du Conseil d’Administration de la société d’inscrire dans ses statuts une “raison d’être”, à savoir l’ambition d’être leader de la transition alimentaire pour tous.

Dans un monde en pleine transformation et en quête de sens, cette initiative mérite d’être saluée.

La « raison d’être », inscrite dans les statuts, engage le management, l’entreprise et ses actionnaires.

Lire la suite …