Dans les PME suisses, l’assurance responsabilité civile des dirigeants est désormais considérée comme la norme. Ce que personne n’explique, c’est que cette assurance couvre le préjudice subi, et non la cause de ce préjudice.
Il y a vingt ans, l’assurance responsabilité civile des dirigeants (D&O) était un produit de niche destiné aux sociétés cotées en bourse. Aujourd’hui, il s’agit d’une couverture standard sur le marché suisse des PME, tous secteurs confondus.
La pression qui en découle est bien réelle : augmentation du nombre de faillites, durcissement de la réglementation et une FINMA qui ne se contente plus de lancer des avertissements avant d’intervenir. Toute personne occupant un poste à responsabilité dans le secteur de la construction, du commerce de détail, de l’hôtellerie ou du B2B est confrontée à un niveau de responsabilité qui s’est considérablement accru au cours des dix dernières années.
À l’échelle mondiale, le secteur financier domine le marché de l’assurance responsabilité civile des dirigeants et administrateurs (D&O), représentant environ 30 % du volume total. Une réglementation plus stricte, des montants en jeu plus importants et un nombre croissant de personnes exposées à titre personnel. Le principal moteur de la croissance ne réside toutefois pas dans le secteur financier, mais dans celui des PME. Et dans ce secteur, nombreux sont ceux qui ne comprennent toujours pas qui la police d’assurance protège réellement.
En cas de procès : c’était le directeur financier. Presque toujours.
Une police d’assurance responsabilité civile des dirigeants (D&O) couvre tous les membres actuels, anciens et futurs du conseil d’administration ainsi que les dirigeants. Cela semble très complet. Sur le papier, c’est vrai.
En réalité, la répartition des risques est plus marquée.
Le PDG est responsable des erreurs stratégiques et d’une mauvaise gestion organisationnelle. Le directeur financier est le deuxième dirigeant le plus exposé. Pourquoi ? En raison d’erreurs dans les états financiers, d’une planification incorrecte de la trésorerie, du fait qu’il fait automatiquement l’objet d’un examen minutieux en cas d’insolvabilité (retard dans la procédure d’insolvabilité), ou encore de décisions de gestion fondées sur des analyses de marché erronées ou insuffisantes (fusions-acquisitions).
Le président du conseil d’administration et les membres du comité d’audit ne sont pas responsables de ce qu’ils ont fait, mais de ce qu’ils n’ont pas empêché.
Les RSSI et les DSI sont de plus en plus exposés à une responsabilité personnelle en vertu de la directive NIS-2, de la loi révisée sur la protection des données (DSG) et de la loi DORA. Ce n’est pas l’établissement qui est concerné, mais vous personnellement.
Cette politique couvre l’ensemble du spectre. Mais cela ne change rien au fait que ce spectre existe.
Le mandat que personne n’a signé
Il s’agit là d’une lacune que même les membres du conseil d’administration les mieux informés ont tendance à négliger.
Les polices d’assurance responsabilité civile des dirigeants (D&O) modernes ne couvrent pas uniquement les membres traditionnels de l’organe de direction. Elles couvrent également les membres de fait de cet organe : les personnes qui, sans mandat officiel, exercent une influence significative et déterminante sur la gestion de l’entreprise. Les consultants. Les dirigeants intérimaires. Les chefs de projet disposant d’un pouvoir décisionnel de fait.
Toute personne qui prend des décisions de gestion à titre de PDG, de directeur financier ou de directeur des opérations par intérim engage sa responsabilité juridique au même titre qu’un dirigeant statutaire, quelle que soit la formulation du contrat.
Le cadre juridique qui sous-tend cette disposition est plus large qu’un simple article de loi. L’article 716a du Code des obligations (CO) définit les obligations non délégables du conseil d’administration. L’article 717 du CO établit le devoir de diligence personnel. Pour les établissements réglementés, les règlements de la FINMA, la loi sur le blanchiment d’argent (LBA) et la DORA s’appliquent également. Chaque ensemble de réglementations crée son propre niveau de responsabilité.
La notion d’« organe d’information » ne relève pas d’une zone d’ombre. Le droit suisse prévoit des conséquences précises en matière de responsabilité. Exemples :
Des demandes de dommages-intérêts s’élevant à plusieurs centaines de millions de francs sont liées à la procédure de faillite la plus importante et la plus médiatisée de l’histoire de l’économie suisse. Dix-neuf personnes, parmi lesquelles d’anciens membres du conseil d’administration, les PDG du groupe et des membres de la direction générale, ont été mises en examen. Le 7 juin 2007, tous les prévenus ont été entièrement acquittés.
Le coût de la rénovation de la patinoire en 2000 s’est finalement élevé à 12 millions de francs, alors que le budget avait été fixé à seulement 9 millions de francs. En conséquence, l’ensemble du conseil d’administration a été remplacé. En 2003, le nouveau conseil d’administration a engagé des poursuites en responsabilité civile contre l’ancien conseil d’administration et l’architecte responsable. Le règlement de ce litige a coûté 400 000 francs à l’architecte et 200 000 francs à l’ancien conseil d’administration.
Six anciens membres du comité exécutif du groupe doivent verser 350’000 francs suisses pour avoir utilisé la société d’investissement du groupe, LTS, à des fins d’investissements personnels.
D’après mon expérience :
Dans le cadre d’une mission ponctuelle (PME gérée par son propriétaire), l’accent a été mis sur l’optimisation de la gouvernance. Mission : réaliser des examens plus approfondis et plus détaillés du système de gestion de la conformité (CMS) existant. Résultat : une transparence accrue des processus clés existants, obtenue en partie grâce à leur redéfinition ou à leur extension.
Par la suite, l’analyse des risques a mis en évidence des lacunes dans la couverture d’assurance existante. Les Conditions générales d’assurance (AVB) ont été adaptées au nouveau profil de risque. Résultat : la police d’assurance responsabilité civile des dirigeants (D&O) a été ajustée et étendue, ce qui, grâce au système de contrôle interne (SCI) optimisé, a pu être réalisé à des conditions sur mesure et plus avantageuses.
Le temps qui passe laisse des traces. La plupart du temps, on ne s’en rend même pas compte.
Les PDG suisses des grandes entreprises ont désormais 56 ans en moyenne, soit trois ans de plus qu’en 2010. La proportion de dirigeants âgés de plus de 70 ans au sein des directions d’entreprises suisses a doublé au cours des dix dernières années, passant de 3 % à 6 %.
Cela semble être une question de gouvernance secondaire. Il s’agit en réalité d’une question de responsabilité civile de premier plan.
Un membre du conseil d’administration âgé de 68 ans ne souscrit pas d’assurance responsabilité civile des dirigeants pour protéger l’entreprise. Il protège l’œuvre de toute une vie : son épargne-retraite, son patrimoine personnel et la réputation qu’il s’est forgée au fil des décennies. Une action en justice ne vise pas la personne morale, mais la personne qui se cache derrière elle.
Un écart d’âge important entre le PDG et le président du conseil d’administration est statistiquement considéré comme un facteur de risque en matière de gouvernance. Les assureurs en tiennent compte dans la tarification de leurs contrats. Le courtier qui mène cet entretien ne parle pas d’assurance ; il aborde la question de la gouvernance.
Le « DÉFAUT DE CONSCIENCE DE LA RESPONSABILITÉ » est le diagnostic effectif
La question essentielle n’est pas : « Disposons-nous d’une assurance responsabilité civile des dirigeants ? » La question essentielle est : « Pourquoi ce risque de responsabilité existe-t-il ? »
La «cécité en matière de responsabilité » désigne la situation dans laquelle un membre du conseil d’administration sait qu’il est responsable, mais ignore de quoi. Cette situation ne peut être résolue par une police d’assurance.
IMPORTANT : Cette assurance couvre les dommages. Elle n’en élimine pas la cause !
La cause réside presque toujours dans les mêmes domaines : un manque de documentation en matière de gouvernance, des responsabilités de surveillance mal définies entre le conseil d’administration et la direction générale, ainsi que des systèmes de contrôle (CMS, ICS) qui existent sur le papier mais ne sont pas mis en œuvre dans la pratique.
Cette approche est appelée « Compliance by Design » : plutôt que d’imposer des exigences de gouvernance a posteriori, celles-ci sont intégrées dès le départ dans les processus, les structures décisionnelles et les contrôles internes. Les entreprises structurées de cette manière paient des primes moins élevées et présentent moins de vulnérabilités.
C’est le partenaire d’entraînement qui identifie ce que la police d’assurance ne couvre pas
Ceux qui se concentrent uniquement sur la souscription d’une assurance ne s’intéressent qu’au symptôme. Ceux qui s’intéressent à la gouvernance qui se cache derrière s’attaquent à la cause.
En tant que partenaire de réflexion en matière de GRC, je constate régulièrement le même schéma lors de mes discussions avec les conseils d’administration : la politique est en place. Mais il existe un manque de sensibilisation quant aux risques concrets de responsabilité personnelle. Les termes « couvert » et « protégé » sont utilisés comme des synonymes. Or, ils ne le sont pas.
« Protégé » : les dommages sont couverts s’ils surviennent.
« Sécurisé » : la structure de gouvernance est conçue pour réduire le risque que cela se produise.
La responsabilité civile des dirigeants ne connaît pas de cloisonnement. Le PDG est également responsable de ce que le service juridique a omis de communiquer et de ce que le service informatique n’a pas su sécuriser. Si vous abordez cette question service par service, vous ne saurez pas tout !
Quel est l’écart entre ce que votre conseil d’administration approuve et ce dont il peut réellement être tenu responsable ? Cette question détermine si la politique constitue une mesure de protection ou s’il ne s’agit que d’un placebo. Quelle est la situation au sein de votre entreprise ?
Avant le début d’une nouvelle mission : DIAGNOSTIC GRC (4 heures). Vous recevrez une liste des lacunes classées par ordre de priorité ainsi qu’un plan de mise en œuvre concret pour les 60 prochains jours. Pas de diapositives.
La prochaine série de procès-verbaux de réunion du conseil d’administration que votre comité exécutif va signer : est-ce que toutes les personnes présentes autour de la table savent ce qu’elles approuvent personnellement ?
TRANSFORMER LA RÉGLEMENTATION EN VALEUR !
Thomas Schubert, M. #LesActesComptentPlus
Voir aussi : La fraude n’est pas seulement un coup de malchance : c’est une conséquence