Droit, entreprise et citoyen
Publié le 16 janvier 2020 | Par Ivan Tchotourian
CA et nouvelles technologies
Depuis quelques années, les conseils d’administration et leurs membres doivent composer avec l’apparition des nouvelles technologies sur le marché. Eux qui ont pour mission principale de veiller aux intérêts de l’entreprise qu’ils administrent et de ses actionnaires, comment sont-ils touchés par ces mutations? Et comment peuvent-ils y faire face1?
Des changements considérables
Le monde d’aujourd’hui est aux prises avec des mutations technologiques considérables. Tout comme les individus, les entreprises doivent y faire face. Les spécialistes s’accordent pour désigner huit technologies qui ont un effet significatif pour les entreprises2:
• L’incontournable intelligence artificielle (IA) avec son automatisation des processus robotiques, son apprentissage machine, son traitement du langage naturel, son informatique conversationnelle et ses réseaux neuronaux;
• La réalité virtuelle et la réalité augmentée;
• Les drones;
• La chaîne de blocs;
• L’Internet des objets;
• L’impression 3D;
• La robotique;
• L’informatique nuagique.
Le Forum économique mondial offre un panorama encore plus large de ces technologies plus vastes dans un rapport publié en 20173.
Le risque sous toutes ses formes
Gérer les risques n’est pas nouveau pour les entreprises, loin de là. Après tout, celles-ci ont toujours évolué dans un contexte fait d’incertitudes, de dangers, d’événements imprévisibles! Cela fait bien longtemps qu’elles ont appris à vivre dans cette conjoncture. Les autorités réglementaires et les organisations internationales s’intéressent aux risques, d’autant plus qu’ils sont devenus transnationaux et qu’ils se sont démultipliés4. La gestion des risques associés à la nature de leurs activités, au secteur de celles-ci ou encore à leur marché géographique est un enjeu fondamental, contemporain et indissociable de l’exercice du pouvoir des entreprises devenues «filles de la mondialisation», interconnectées et dépendantes de systèmes hérités et de fournisseurs externes.
Quant aux risques liés aux mutations technologiques, ils revêtent une intensité particulière ces dernières années. Devenus nombreux et variés, ils se déclinent sous plusieurs aspects. Comme le précise l’Autorité des marchés financiers (AMF) dans un document qui propose une ligne directrice sur la gestion des risques liés aux technologies de l’information et de la communication (TIC): «Régulièrement le risque lié aux TIC est considéré comme une composante du risque opérationnel. Toutefois, même les risques stratégiques et de réputation peuvent comporter une composante liée aux TIC, particulièrement lorsque celles-ci permettent la réalisation d’initiatives d’affaires. C’est aussi le cas pour le risque de crédit, où une faible sécurité des TIC peut mener à des cotes de crédit erronées5.»
Ainsi, les entreprises sont-elles devenues plus vulnérables aux cyberattaques, à la cybercriminalité, au vol de données personnelles, au non-accès aux données, à l’interruption des affaires, à la divulgation ou la diffusion de données, à la compromission liée à un tiers et aux menaces d’extorsion. Plus une seule n’y échappe!
Gérer un risque de nouvelle génération
Pour pallier ces risques, les entreprises ont besoin d’une gouvernance 3.0 ou renouvelée. Rappelons le vol de données survenu chez Desjardins. L’affaire aurait touché environ 4,2 millions de clients dont les informations personnelles ont été attaquées6. De quoi faire trembler les entreprises québécoises et canadiennes et même l’économie.
«Les individus qui sont à même de soupeser et de gérer [les risques technologiques] sont aujourd’hui les administrateurs et dirigeants. La haute direction a le devoir d’exercer une supervision adéquate des infrastructures informatiques. Les membres du conseil d’administration d’une entreprise sont, sauf restrictions apportées par une convention unanime des actionnaires, responsables de la supervision et de la gestion générale des activités de l’entreprise alors que les dirigeants sont responsables de la gestion de ses affaires courantes7.»
Dans le système canadien, le CA a en effet un rôle pivot:
• Il est investi de l’autorité décisionnelle qui se traduit par la gestion des activités commerciales et des affaires internes de la société.
• Il est la clef de voûte du système de gouvernance des sociétés8, notamment en définissant et en pilotant la stratégie de l’entreprise9. Dans ce cadre, une gestion des risques10 doit être faite. Le CA doit en définir le processus, le surveiller et en assurer une amélioration continue. Or, une telle gestion englobe tous les risques, de toutes les activités, à tous les niveaux, de l’élaboration de la stratégie à la réalisation des activités.
Les technologies émergentes constituent un outil essentiel pour façonner l’avenir des industries et permettre aux entreprises de demeurer concurrentielles. Mais elles représentent aussi, et surtout, un risque pour toute entreprise. En conséquence, le CA doit gérer ce risque. Comment? En étant en mesure d’examiner comment l’entreprise planifie le futur, comment les technologies émergentes renforcent ou menacent les stratégies de demain et comment faire face aux risques associés à ces technologies11. De plus, le CA doit identifier les événements favorables ou défavorables susceptibles d’affecter la création de valeurs dans l’entreprise pour en gérer les effets sur l’actif et le passif.
Plus concrètement, les CA doivent mettre en place plusieurs actions-clés:
1. Intégrer les discussions relatives à la technologie dans le processus de surveillance stratégique: les membres du CA voudront comprendre et approuver les plans de la direction visant à suivre les technologies prioritaires et à leur donner suite. Or, en incluant ces technologies dans l’examen continu de la stratégie, le CA peut se tenir au courant des risques connexes et y faire face12.
2. S’assurer de prendre certaines mesures telles que vérifier la préparation d’un plan d’intervention en cas d’incident; réaliser régulièrement des exercices sur table et des simulations de cyberattaques en groupe, avec l’équipe d’intervention et d’autres professionnels de l’organisation; et ne pas hésiter à faire appel à un conseiller externe en cas de problème13.
3. Mener des examens attentifs sur les procédures de gouvernance liées aux enjeux de technologie parmi lesquelles la structure technologique organisationnelle incluant les mesures de protection mises en place; et établir une bonne gestion de l’information (qu’est-ce qui est conservé? À quel endroit? Pour combien de temps? Qui y a accès?…): les politiques, programmes, ou autres règlements internes sur la gouvernance en matière de cybersécurité14.
4. Former leurs membres: il est impératif que les membres du CA disposent de connaissances suffisantes et solides en matière de technologies émergentes. Il faut donc que les CA s’assurent que des programmes de formation fréquente des employés et des dirigeants soient mis en place. Une évidence? Sans doute, mais un article publié par le cabinet de services-conseils Deloitte révèle des lacunes à cet effet15.
5. Revoir leur composition et leur manière de fonctionner16. Les CA devraient ainsi se demander si leur composition est toujours adaptée à l’objectif de l’entreprise. En juin 2019, l’AMF affirmait qu’une gouvernance efficace et efficiente qui inclut les TIC ainsi que les technologies et les innovations liées à leur exploitation requiert un niveau approprié d’expertise, de qualifications professionnelles, de connaissances ou d’expériences pertinentes17. Tout un défi18! Mais, les CA doivent aller au-delà et revoir leur politique de rencontres. Leurs membres ne peuvent plus se permettre de se réunir une ou deux fois par an pour une révision stratégique alors qu’une cyberattaque peut effacer un tiers de la valeur des actions de l’entreprise en un seul jour19.
6. Nommer un cadre supérieur pour exécuter la stratégie numérique: chaque CA devrait désigner un membre (chef des technologies ou de l’information) qui assume la responsabilité personnelle de la technologie sans pouvoir déléguer son pouvoir20. Solution simple, mais qui comporte plusieurs zones d’ombre: comment de jeunes directeurs qui ont grandi dans des cultures organisationnelles différentes et qui ont peu d’expérience d’un CA vont-ils mener un changement de culture sur ce plan? Derrière la simplicité de cette solution, quelle est la bonne formule à mettre en place (la pratique est en effet variable, comme le montre une étude récente d’Ernst and Young)?
7. Créer un comité spécialisé dans les technologies: ce comité permettrait de développer une vision globale et de gérer les enjeux opérationnels liés à la mise en œuvre des stratégies et encadrements approuvés par le CA liés aux mutations technologiques. Ce comité sera un outil utile pour les administrateurs: il pourra diminuer les risques liés aux technologies, générer de nouveaux canaux de croissance, accompagner l’entreprise dans sa transformation numérique, gérer la réputation économique, gérer la relève informatique et la continuité des activités, et optimiser les coûts de l’informatique21.
Le monde d’aujourd’hui est numérique!
Nul ne peut nier que les nouvelles technologies ont des répercussions sur les CA et leurs fonctions22, ne serait-ce que parce que les organismes de réglementation et les règlements qui régissent leur environnement se durcissent et apportent leur lot de nouvelles responsabilités pour les CA23. La gestion des risques est essentiellement stratégique. Elle consiste à mettre en place des manière de faire qui assurent le bon fonctionnement de l’entreprise et est du ressort des CA des entreprises. Or, dans leur gestion des risques de nouvelle génération, les CA sont loin de tenir la cadence imposée par la technologie. Pour bien saisir l’«impact techno», ils doivent donc urgemment se remettre en question afin de pouvoir rattraper leur retard24…
Comme les CA sont souvent lents, trop même, à évoluer (le manque d’ouverture à la diversité en leur sein le démontre), ils ne pourront échapper longtemps à une responsabilité juridique dans le domaine des technologies. Voilà un incitatif puissant pour provoquer le changement! Les devoirs cardinaux de prudence, de diligence et de loyauté prévus aux articles 119 de la loi provinciale des sociétés par actions et 122 de son équivalent fédéral devront un jour ou l’autre être compris dans le contexte des mutations technologies; or, «(…) ils sont appelés à évoluer en suivant le rythme des changements rapides apportés aux normes et aux risques dans le domaine, à un point tel qu’il ne serait pas farfelu d’envisager l’apparition d’une obligation de vigilance et de mise à jour des connaissances des administrateurs et dirigeants sur le sujet25.»
Nous sommes donc devant un virage incontournable. Car rappelons cette mise en garde émise par le cabinet Ernst and Young dans l’un de ses documents de fin d’exercice en 2018: «À elles seules, les cybermenaces sont telles que ce n’est qu’une question de temps avant que toutes les entreprises subissent une cyberattaque26.»
1 Ce billet doit beaucoup aux échanges avec Mlles Alicia Ferrante et Charlotte Thibault (étudiantes du cours DRT-7022 Gouvernance de l’entreprise) tenus à l’occasion de l’encadrement de leur travail de recherche mené à l’automne 2019 dans le cadre du cours sur le thème «Fonctions du CA: conséquences des mutations technologiques». ↩
2 PwC, How can boards tackle the Essential Eight and other emerging technologies?, juin 2017, à la p. 3. ↩
3 The Global Risks Report 2017, 12e éd., Genève, World Economic Forum, à la p. 43. ↩
4 L’entreprise face à la mondialisation: opportunités et risques – Stratégies juridiques, J.-Y.
TROCHON et F. VINCKE (dir.), Bruxelles, Bruylant, 2006, aux p.181 et s. ↩
5 AMF, Ligne directrice sur la gestion des risques liés aux technologies de l’information et des communications, juin 2019, à la p. 20. ↩
6 Tristan PÉLOQUIN et Hugo PILON-LAROSE, «Vol de données chez Desjardins: 4,2 millions de victimes», La Presse, 2 novembre 2019. ↩
7 Hélène DESCHAMPS-MARQUIS et Joe ABDUL-MASSIH, «Responsabilité des administrateurs et dirigeants d’entreprise en matière de cybersécurité», dans Développements récents en droit des affaires, Cowansville, Éditions Yvon Blais, 2019, à la p. 2 du PDF. ↩
8 Raymonde CRÊTE et Stéphane ROUSSEAU, Droit des sociétés par actions, 4e éd., Montréal , Thémis, 2018, à la p. 359. ↩
9 PwC, How can boards tackle the Essential Eight and other emerging technologies?, juin 2017, à la p. 2. ↩
10 Sur le risque, voir: Ortwin RENN, «Concepts of Risk: A Classification», dans S. KRIMSKY et D. GOLDING (dir.), Social Theories of Risk, Westport, Preager, 1992, p. 53-79. ↩
11 Institut des administrateurs de sociétés – Section du Québec, Les technologies émergentes: Comprendre les bouleversements à venir, Guide d’introduction pour l’administrateur de sociétés, avril 2019, à la p. 2. ↩
12 Institut des administrateurs de sociétés – Section du Québec, Les technologies émergentes : Comprendre les bouleversements à venir, Guide d’introduction pour l’administrateur de sociétés, avril 2019, à la p. 4. ↩
13 Hélène DESCHAMPS-MARQUIS et Joe ABDUL-MASSIH, «Responsabilité des administrateurs et dirigeants d’entreprise en matière de cybersécurité», dans Développements récents en droit des affaires, Cowansville, Éditions Yvon Blais, 2019, aux p. 20 et s. du PDF. ↩
14 Danièle FERRON, Tommy TREMBLAY et Jean-François DE RICO, «Cybersécurité : c’est aussi une question de gouvernance», Langlois bulletin-conseil, Langlois avocats, septembre 2018. ↩
15 Deloitte, Bridging the boardroom’s technology gap. ↩
16 EY Center for Board Matters, Insights on how boards approach digitalization, 2018, à la p. 6. ↩
17 AMF, Ligne directrice sur la gestion des risques liés aux technologies de l’information et des communications, juin 2019, à la p. 5. ↩
18 Anne-Marie LUCA, «Conseil cherche administrateur numérique», Les affaires.com, 13 octobre 2018. ↩
19 EY Center for Board Matters, Insights on how boards approach digitalization, 2018. ↩
20 Il devrait présenter au CA des propositions technologiques et des statuts de la mise en œuvre des stratégies et encadrements liés aux technologies (AMF, Ligne directrice sur la gestion des risques liés aux technologies de l’information et des communications, juin 2019, à la p. 13). En dehors du CA, l’AMF requiert aussi de nommer un responsable de la haute direction (chef de la sécurité de l’information) qui devrait surveiller le déploiement de l’encadrement relatif à la sécurité de l’information et à la sécurité physique des infrastructures technologiques de l’institution; et un autre (Chief Information Security Officer (CISO)) – la même ou non – qui devrait surveiller l’encadrement approuvé par le CA à l’égard de la collecte, de l’emmagasinage et de l’utilisation des données. ↩
21 Delphine PRAMOTTON, «Les 6 missions des TI au conseil d’administration», Direction informatique, 16 avril 2014. ↩
22 PwC, What should corporate boards know about new technologies?. ↩
23 Sur ces évolutions, voir: Davies, Rapport 2018 sur la gouvernance, aux p. 89 et s. ↩
24 Anne-Marie LUCA, «Trois conseils pour intégrer les TI aux CA», Les affaires.com, 13 octobre 2018. ↩
25 Hélène DESCHAMPS-MARQUIS et Joe ABDUL-MASSIH, «Responsabilité des administrateurs et dirigeants d’entreprise en matière de cybersécurité», dans Développements récents en droit des affaires, Cowansville, Éditions Yvon Blais, 2019, à la p. 10 du PDF. ↩
26 EY Center for Board Matters, Enjeux de la fin d’exercice 2018 dont doivent tenir compte les comités d’audit canadiens, à la p. 5. ↩
Note : Les commentaires doivent être apportés dans le respect d'autrui et rester en lien avec le sujet traité. Les administrateurs du site de Contact agissent comme modérateurs et la publication des commentaires reste à leur discrétion.
commentez ce billet