juillet 2022 - Page 3 sur 7

Gestion de crise et communication sensible en cas de cyberattaque

Posted on juillet 29, 2022juillet 29, 2022 by Administration

Depuis plus d’une décennie, nous confions nos données au web, nous nous exposons, en tant qu’individu, entreprise, grande organisation. Dans un monde où tout commence à devenir immatériel, les paiements, les flux d’informations, tout peut potentiellement être attaquable : du portefeuille, à l’image même. Et les droits interne et international ont bien des difficultés à faire face aux problèmes que pose le numérique. Il n’a pas de frontière, toute présence se révèle donc un risque potentiel. La menace peut autant provenir de l’intérieur que de l’extérieur, les salariés n’étant bien souvent pas assez formés à l’exploitation des outils permettant de contrer les risques informatiques, et aux règles élémentaires de sécurité informatique ; la culture d’entreprise n’est pas assez forte sur ces aspects.

Pourquoi devriez-vous porter une attention particulière à la Cybersécurité : « une attention et un engagement de tous les instants. » [FireEye]

Ce que nous observons tout d’abord, c’est le manque de culture de la cybersécurité dans notre société, même si on lui accorde de plus en plus d’importance, « le déni du risque » dans les entreprises est encore bien présent pour Frans Imbert-Vier, PDG de l’agence Ubcom.

En premier lieu, cela n’arrive qu’aux autres ; en second lieu qu’une attaque fasse la une de la presse n’arrive que quelques fois dans une année.

Pourtant, chaque jour, des entreprises sont victimes de la cybercriminalité. En réalité, il est facile pour des groupes expérimentés de pirates informatiques spécialisés dans le ransomware notamment – « structurés comme des mafias » pour reprendre les mots de M. Imbert-Vier –, ou pour de simples individus ayant des connaissances sur les malwares ou encore le phishing, d’organiser une attaque avec peu de moyens. Il est donc d’une importance vitale pour les entreprises de se prémunir contre ce fléau et de penser aux stratégies de communication à adopter en cas d’attaque.

Les conséquences d’une cyberattaque : plusieurs cas emblématiques

• Le cas de Target « Data breach »

Nous pouvons pour un premier exemple remonter jusqu’en 2013 avec une attaque survenue en pleine période de fêtes de fin d’année, et une réaction d’entreprise tristement reconnue aujourd’hui comme étant un « cas d’école ».

Entre le 15 novembre et le 17 décembre, l’enseigne de grande distribution américaine Target est victime d’une attaque d’ampleur. Une brèche dans le système de sécurité a permis aux pirates de voler plus de 40 millions de données bancaires et 70 millions de données personnelles. Pour donner une idée de grandeur plus parlante, un tiers des Américains a été touché par cette attaque, pendant les fêtes. Début 2014, suite aux investigations de l’agence Reuters, on apprend que VISA Inc avait mis en garde les grandes enseignes contre les nouvelles stratégies des hackers. VISA Inc avait même donné les moyens à celles-ci pour s’en prémunir. Reuters nous a également appris, que ce n’est autre qu’un blogueur, Brian Krebs – spécialiste en cybersécurité –, qui a signalé la brèche suite à une probable fuite en interne. La réaction des investisseurs, puis du grand public a mis l’enseigne au pied du mur, la forçant à révéler l’ampleur de l’attaque. Plusieurs mois après l’attaque, un communiqué de Target annonce un changement de gouvernance. Par ailleurs, l’entreprise se dit confiante, exprime sa volonté d’entreprendre de véritables « transformations » pour l’avenir et rappelle ces ambitions.

La communication tardive a provoqué une réaction en chaîne dépréciant l’entreprise, désormais connue pour être « laxiste » en matière de sécurité. Par ailleurs, le cas de Target illustre parfaitement l’enchainement des scénarios d’évolution défavorables après une attaque. Voici pourquoi :

En premier lieu, l’attaque grève le budget de l’enseigne, qui doit à grands frais se doter des meilleurs experts techniques pour colmater la faille. Elle doit également financer les frais de notification, les amendes, et le procès. Pratiquement dans le même temps, les médias s’emparent de cette information et alarment la clientèle ; l’enseigne est discréditée.

L’événement entraîne la démission du CEO Gregg Steinhafel, quelques mois après l’attaque. Il est accusé de n’avoir pas réagi suffisamment rapidement après la découverte du piratage, et n’avoir pas pris les mesures appropriées et jugées nécessaires. Il rejettera ses accusations.

« Depuis le début de cette histoire de vol massif de données, je me suis engagé à ce que Target se transforme en une meilleure compagnie tournée plus que jamais dans la satisfaction client. »

Lettre adressée au conseil d’administration de Target.

Les concurrents se sont servis de l’emballement médiatique pour récupérer ses clients. En outre, le bilan humain et financier de cette attaque se révèle très lourd pour Target, son image est durablement entachée, en témoignent encore aujourd’hui les nombreux tweets sur cette affaire.

• Le cas TalkTalk

Deux ans après le « Data Breach », une autre cyberattaque d’ampleur touche l’opérateur de téléphonie mobile britannique TalkTalk. Il admet alors (pour la troisième fois) qu’il vient d’être victime d’un vol de données. Selon ses services, 150 000 de ses abonnés auraient été touchés. Si l’incident n’est pas considéré comme « une vaste attaque », les conséquences seront tout aussi lourdes. Pourquoi ? Les pirates informatiques ayant commis ce vol sont… des adolescents. Toute communication sur l’intrusion est vaine, le simple profil des hackers a infligé à l’opérateur une lourde perte en crédibilité.

• Le cas d’Altran

Mi-janvier 2019, l’entreprise de conseil en ingénierie procède à la déconnexion de tous ses serveurs suite à une attaque. Il est intéressant d’observer son temps de réaction. Il lui a fallu quatre jours pour admettre officiellement l’incident. Le 28 janvier, l’entreprise diffuse finalement un communiqué, qui reste laconique :

« Nous avons mobilisé des experts techniques et d’investigation indépendants mondialement reconnus, et l’enquête que nous avons menée avec eux n’a révélé aucun vol de données ni aucun cas de propagation de l’incident à nos clients. Notre plan de rétablissement se déroule comme prévu et nos équipes techniques sont pleinement mobilisées ».

Il peut être qualifié de classique, de laconique, mais il témoigne surtout d’un déni de la part de l’entreprise. Il évoque seulement l’intervention « d’experts », alors que finalement, une dizaine de jours après l’attaque, la société tournera toujours au ralenti, ce qui bien entendu, inquiétera ses clients au nombre desquels Safran, la SNCF, et bien d’autres. Avec une communication opaque, les clients peuvent ainsi s’imaginer que l’attaque est bien plus importante que celle dont ils ont connaissance.

Que retenir de ces réactions et de la communication des entreprises après ces attaques ?

Tous les domaines d’activité peuvent être touchés, et bien évidemment, selon le profil des pirates, l’entreprise visée, l’ampleur de l’attaque, la cible précise, voici quelques erreurs notables que nous pouvons relever dans les communiqués :

Absence de communication spontanée : l’entreprise s’exprime parce qu’elle y est contrainte. Généralement, la fuite, ou même l’attaque, provient de l’interne (des employés qui en parlent à leurs amis, etc.), ou de blogueurs experts dans le domaine, entachant encore plus l’image de l’entreprise qui a donc voulu au départ, taire l’affaire. Les blogueurs spécialisés dans le cyber sont à suivre avec attention, ils sont reconnus, peuvent avoir les informations les premiers et sont parfois même en contact direct avec les pirates. Dans le paysage cyber français, on pourrait parler de Zataz.

Emploi de mots susceptibles de minimiser l’importance de l’événement pour le client (dans l’hypothèse où l’entreprise communique) ; ainsi, on note souvent la répétition de vocables tels que « aucun », « simple incident », « n’a pas », comme si une attaque était négligeable. Dans le cas de Ramsay Générale de santé : « L’attaque handicape le travail mais n’a pas d’impact sur les patients ». Pourtant, si le travail des employés est perturbé, les patients peuvent être impactés d’une certaine manière, ou légitimement inquiets…

Généralement, quelques éléments chronologiques sont fournis, mais le manque de transparence, une communication prosaïque, sont manifestes ; et des questions demeurent, la durée de l’intrusion par exemple, le volume de données subtilisées, mais aussi le flou quant au rétablissement des services.

Facteur humain souvent sous-estimé. Les internautes aujourd’hui connaissent le risque majeur que présente le numérique. Il faut donc plus de résilience, plus de transparence. Une cyberattaque induit de multiples rebondissements délétères : des démissions, un mécontentement ressenti par plusieurs parties prenantes, des pertes de ressources humaines et financières.

Il est enfin fondamental de penser à l’interne. Vos employés sont inquiets, ils n’ont plus accès à leurs outils, ne savent peut-être pas s’ils vont être payés, s’ils vont devoir poser leurs congés etc. suivant l’ampleur de l’attaque.

Mais alors, quelles stratégies adopter ?

La stratégie à adopter est bien entendu différente selon les cas, mais que ce soit une atteinte à la réputation, une perte de confiance des clients, de ses employés etc. voici quelques recommandations à prendre en compte :

Ne pas se laisser aller au déni :

o La crise va durer longtemps

o Une gestion de crise opérationnelle ou technique, qui n’implique que l’IT n’est pas suffisante (rétablir les serveurs, récupérer les données, etc., constitue bien sur l’urgence, mais cela ne suffit pas)

o Les attaques cyber occasionnent des crises multiformes (réputation, juridique (loi RGPD), RH, scandale de type compliance, etc.)

Prendre l’initiative de diffuser un communiqué rapidement :

si possible avant que des internautes, blogueurs ou journaux relayent l’information. Ce dernier doit être clair, résumant la situation avec le plus de transparence possible. Ne pas laisser le vide et la parole aux nombreux articles, aux interrogations, aux réactions.

Des updates sont toujours appréciables :

elles démontrent la volonté de l’entreprise de tenir au courant ses clients, ses actionnaires, des évolutions de la situation jusqu’au retour à la normale des systèmes, et de l’activité. Cette manœuvre permettra de maintenir un relationnel avec les différents acteurs, pour « occuper le terrain », et peut contribuer à entretenir la confiance qu’ils accordent à votre structure.

Cartographier ses parties prenantes et anticiper les risques potentiels !

o En interne : penser que les employés se posent peut-être des questions sur les données volées (mes données personnelles sont-elles sauves ?). Penser également à les rassurer sur la question de la pérennité de l’entreprise et de leur place au sein de cette structure. Penser à l’anxiété que peut provoquer la perte des outils de travail (agenda, boites mails, etc.).

Ici, le cas de Saint-Gobain est intéressant. En juin 2017, la structure a subi une attaque par le groupe NotPeyta depuis une filiale en Ukraine. Des milliers de données ont été cryptées, les réseaux ont dû être suspendus, entraînant une perte de chiffre d’affaires de 220 millions d’euros. L’attitude du groupe en interne pour gérer cette crise doit être regardée de plus près. Le président s’est notamment attelé à rassurer ses collaborateurs et s’est montré très présent, en communiquant régulièrement sur la situation et sur la reprise de l’activité. Cet engagement a suscité un véritable team building, un engagement de la part des collaborateurs qui n’étaient pas habitué à cette communication. C’était également un moyen d’encadrer les informations – certifiées ou non – que pouvaient émettre les nombreuses parties prenantes internes. « « je compte sur vous, il faut servir nos clients, je vous tiens au courant, faire attention à ne pas propager des rumeurs, etc, ne pas poster les écrans noirs. »

o L’objectif : éviter les RPS, la fuite de talents, la démotivation, la perte de productivité…

o En externe : penser aux clients, aux fournisseurs, aux sous-traitants et prestataires. Penser à leurs inquiétudes (ai-je été contaminé par le virus ? mes données ont-elles été volées ? comment vais-je être payé ? etc.)

o L’objectif : ne pas s’aliéner de parties prenantes, ne pas perdre de clients ou de contrats, travailler sa social license to opperate.

Ne pas sous-estimer le facteur humain dans une crise :

remercier ses employés qui œuvrent pour le rétablissement de la situation et qui doivent gérer une situation anxiogène : faire face à une potentielle perte de confiance de la clientèle peut s’avérer compliqué. De même, il est très important de faire preuve d’empathie envers des clients qui se retrouvent lésés, notamment en cas de vol de données ; il faut rassurer, voire parfois présenter des excuses.

Penser aux canaux de communication disponibles :

o l’intranet est-il vraiment consulté ? vos bases de données sont-elles à jour ?

o les interlocuteurs habituels (RH, commerciaux, etc.) ont-ils été briefés pour aligner la communication ? ont-ils les ressources nécessaires pour faire face à l’afflux de questions ?

o les employés peuvent-ils être les ambassadeurs de l’entreprise ? si oui, leur avez-vous fourni assez d’éléments ?

User de certains vocables avec prudence :

Une allégation telle que : « L’enquête est en cours et démontrera etc. » peut s’avérer gênante par la suite. Il arrive que l’enquête démontre justement que le groupe concerné par l’attaque ne prenait pas les mesures adéquates pour la protection de ses systèmes d’information. Le mieux reste d’accompagner le texte d’une description des mesures prises avant pendant et après la crise. Si enfin vous pouvez vous livrer à la plus grande transparence, n’hésitez pas à communiquer ce que vous savez.

Penser au retour d’expérience :

Dans le cas de Saint Gobain, l’entreprise n’a pas hésité à revenir plusieurs fois sur cette attaque afin de montrer au grand public, aux clients, qu’elle en était sortie plus forte. Elle a notamment renforcé sa politique cyber défense pour réagir plus rapidement, détecter les failles en amont et identifier les risques, dans la plus grande résilience. Par ailleurs, elle organise régulièrement des tests pour sensibiliser l’ensemble des collaborateurs aux actes de cyber malveillance. Le directeur opérationnel du groupe, Claude Imauven, avait d’ailleurs déclaré « L’attaque du mois de juin nous a permis d’avoir une vision de ce que cela peut nous coûter au maximum… » . D’où l’importance de se préparer à toutes les éventualités aujourd’hui et de revenir sur cette expérience.

De même, le cas d’Airbus est notable. Fin janvier 2019, la compagnie a été victime d’une cyberattaque massive. Le communiqué de presse était exhaustif sur la description de l’attaque, ce qui a été volé et divulgué. « Des données à caractère personnel ont été consultées (…) essentiellement des coordonnées professionnelles et des identifiants informatiques d’employés d’Airbus en Europe ». Si ces déclarations peuvent inquiéter au premier abord, elles sont obligatoires, et peuvent donc aussi se révéler un moyen pour l’entreprise de démontrer toute sa transparence envers ses collaborateurs et clients. Le communiqué se termine par des mentions qui se veulent rassurantes pour tout le monde : « Aucun impact sur les activités commerciales ». Et l’évènement est qualifié « d’incident », on minimise donc son impact et on rappelle que ce n’est qu’un accident de parcours, ce qui ne devrait pas mettre en péril la confiance accordée à l’entreprise.

Sources :

• https://www.lemonde.fr/emploi/article/2019/12/11/le-turnover-des-salaries-penalise-la-securite-informatique_6022404_1698637.html#xtor=AL-32280270

• https://www.faceaurisque.com/2019/01/25/cybersecurite-barometre-2019-linquietant-constat-du-cesin-sur-les-cyberattaques/

• https://www.fireeye.fr/current-threats/what-is-cyber-security.html

• https://www.saint-gobain.com/sites/sgcom.master/files/03-07-2017_cp_va.pdf

• https://www.ticsante.com/story/4735/le-groupe-ramsay-generale-de-sante-victime-d-une-cyberattaque.html

• https://www.eurofins.com/mediacentre/safeharborstatement/?page=https://www.eurofins.com/media-centre/press-releases-2019/2019-06-03-8/

• http://www.eclaireursdelacom.fr/la-reputation-des-entreprises-menacee-par-les-cyberattaques/

• https://www.riskinsight-wavestone.com/2014/05/target-6-mois-tard-quel-retour-cyber-assurance/

• https://www.usinenouvelle.com/editorial/chez-saint-gobain-il-y-un-avant-et-un-apres-la-cyber-attaque.N651134

L’Oréal face à ses contradictions : vendre des crèmes qui blanchissent la peau et démontrer son engagement éthique en supprimant les mots qui fâchent !

Posted on juillet 29, 2022juillet 29, 2022 by Administration

Depuis la mort de Georges Floyd au mois de Mai dernier, afro-américain, asphyxié par un policier blanc à Minneapolis dans l’État du Minnesota (États-Unis), de nouvelles manifestations ont été recensées en Amérique mais aussi dans le monde entier.

En réaction, certains mouvements ont émergé de nouveau comme celui des Black Lives Matter, fondé en 2013, et ayant pour objectif de lutter contre les violences portées à la communauté afro-américaine.

Ce mouvement est relayé par certaines grandes entreprises comme celle américaine spécialisée dans la fabrication d’articles de sport, Nike. Cette entreprise a ainsi indiqué sur twitter, via son message « Ne tournez pas le dos au racisme », son soutien au mouvement Black Lives Matter.

Reprise par les entreprises, la bataille contre les violences et le racisme est omniprésente dans notre société.

Les incitations au racisme sont cependant monnaie courante, du black face, incarnation stéréotypée de personnes noires à travers un maquillage, au délit de faciès à l’embauche. Mais l’entreprise est obligée de réagir fortement sous peine d’être taxé de laxisme voir de soutien avec ces comportements. Pour preuve on n’oublie pas, par exemple, le scandale qui a suivi deux employés de la marque Le slip français, qui s’étaient grimés lors d’une soirée et leur mise à pied immédiate.

Cet environnement sociétal fait que le contexte est anxiogène et a un impact direct sur la stratégie marketing de certaines entreprises qui se sentent obligées de prendre les devants, « de laver plus blanc que blanc » pour surtout éviter des effets de désengagements du public voir des campagnes de boycott.

C’est ainsi que le Samedi 27 juin, le groupe de cosmétique annonçait, dans un communiqué, le retrait des mots « blanc », « blanchissant » et « clair » de la description de ses produits destinés à « uniformiser » la peau.

Cependant, l’Oréal ne s’attendait pas à ce que son communiqué fasse l’objet d’un véritable bad buzz. C’est pourtant ce qu’il s’est passé sur Twitter avec l’amoncèlement de tweets et de hashtags.

Cette décision a été vue par certains comme du racisme antiblanc. Immédiatement, les internautes ont relayé l’information sur les réseaux sociaux, et les tags ont commencé à pleuvoir : #jarreteloreal, #boycottloreal.

Pour d’autres, le communiqué est perçu comme un acte hypocrite. L’Oréal souhaite lutter contre le racisme pourtant, auparavant, certains de ses actes avaient été assimilés à du racisme.

Par exemple, l’Oréal avait été mis en cause, en 2008, pour avoir photoshopé la peau de la chanteuse Beyoncé afin de la rendre plus blanche, pour une campagne publicitaire pour ses produits vendus en Afrique.

De plus, selon des propos tenus par un dirigeant de l’Oréal et recueillis par le figaro, l’Oréal a décidé d’enlever les termes appelant à la blancheur, mais poursuivra quand même la vente de ses produits éclaircissants. Le changement ne viserait que les campagnes de communication et les emballages.

Et la crise de se poursuivre, l’universitaire Mame-Fatou Niang précise, produit un tweet qui laisse penser que la stratégie de communication de l’Oréal est ambiguë voire incompréhensible.

Débats sociétaux et crises numériques

« Le groupe l’Oréal a décidé de retirer les mots blanc/blanchissant (white/whitening), clair (fair/fairness, light/lightening) de tous ses produits destinés à uniformiser la peau ». Ce communiqué qui a entrainé un véritable bad buzz démontre que le digital permet la diffusion d’une information de manière rapide et ample.

Cela se fait notamment à travers : l’utilisation d’hashtags, le nombre d’internautes/followers et l’omniprésence des réseaux sociaux dans notre société. Pour preuve, Visibrain – plateforme de veille de réseaux sociaux – a recensé 10 fois plus de tweets qu’en temps normal.

Ce bad buzz rappelle aussi que la discrimination à l’égard de l’identité d’un individu est un sujet des plus critiques. D’ailleurs, en 2018, Sophie Licari – consultante indépendante en communication stratégique – avait souligné que les différentes formes de discrimination et d’atteinte à l’identité restaient de loin l’un des sujets les plus critiques de notre société.

L’appropriation culturelle en est un exemple. En 2019, Dior en avait fait les frais avec sa publicité « The new sauvage » mettant en scène l’acteur Johnny Depp jouant de la guitare dans le désert de l’Utah tandis qu’un amérindien en tenue traditionnelle exécutait une danse sacrée. Les internautes s’étaient levés et avaient pointé du doigt l’acte raciste qu’avait commis l’entreprise. Face à la polémique Dior a décidé de retirer sa campagne.

Outre la criticité d’un sujet, il faut rajouter que la discrimination est aussi un sujet clivant. De sorte qu’elle appelle nécessairement deux parties opposées : les progressistes et les réactionnaires. Dès lors, une action menée dans le cadre de tels sujets polémiques mettra naturellement en exergue des discordances sociétales. Les uns approuveront, les autres réfuteront.

La discrimination identitaire est donc une problématique constante et difficile à gérer notamment en présence d’antécédents. Dans le cas de l’Oréal, effectivement, sa gestion d’image sera compliquée du fait qu’elle avait déjà été épinglée sur internet pour le licenciement de la mannequin Munroe Bergdorf. Cette dernière avait dénoncé le racisme des personnes blanches dans un post Facebook en 2017. S’ajoute à cela, maintenant, le bad buzz de l’Oréal avec son communiqué du 27 juin.

Dès lors, les entreprises doivent porter une attention particulière quant à leur stratégie de communication. Il semble que la meilleure des positions à prendre est celle de la cohérence et de l’anthenticité.

Sources : https://twitter.com/lorealparisusa/status/1267449907880824832 https://www.visibrain.com/fr/blog/decryptage-bad-buzz-loreal-sur-les-medias-sociaux/
https://fr.fashionnetwork.com/news/l-oreal-accuse-d-avoir-blanchi-la-chanteuse-beyonce,39608.html
https://www.marianne.net/economie/polemique-sur-l-oreal-et-la-suppression-des-references-au-blanchiment-quelle-est-la
https://information.tv5monde.com/terriennes/l-oreal-ne-dites-plus-creme-blanchissante-mais-qui-donne-de-l-eclat-365494
http://www.cri-aquitaine.org/pdf/discrim_france-2.pdf
https://www.liberation.fr/checknews/2017/12/19/pourquoi-le-fait-de-se-grimer-en-noir-est-associe-a-la-pratique-raciste-du-blackface_1617742
https://www.leparisien.fr/video/video-une-soiree-blackface-provoque-l-indignation-04-01-2020-8228994.php
http://www.crpve91.fr/Lutte_contre_les_discriminations/Productions_du_CRPVE/pdf/discrimination_embauche.pdf

Crise de E-réputation : un sujet hautement inflammable, que peut éteindre la « Task Force » créée par 3 experts…

Posted on juillet 29, 2022août 17, 2022 by Administration

…

« La conjugaison de nos trois métiers peut permettre à des sociétés victimes de campagne de diffamation de rétablir le plus rapidement possible leur image et la perception que le public et les dirigeants peuvent avoir de leur produits et services » Virginie Bensoussan.

Aujourd’hui, ce qui est sidérant, dans notre société, c’est la rapidité de diffusion de l’information. Information étant un mot presque trop élégant pour décrire la cacophonie « des informations » en général et en particulier sur le web, un média que l’on pourrait facilement s’amuser à définir par « beaucoup de bruit pour rien » ! Sauf que ce n’est pas pour rien, car l’impact de ce bruit est rapide et parfois meurtrier… Au moins pour la réputation de certaines personnes ou organisations, visées à juste titre ou par pure médisance. Encouragées par l’anonymat qu’offrent les différents supports d’expression en ligne, les internautes en capacité de s’exprimer sur tout et tout le monde se sont multipliés de manière exponentielle ces dernières années. Cet environnement est donc plus que propice à des attaques portant atteinte à l’image, la réputation et, finalement la vie des personnes.

C’est dans ce contexte que sont nées les activités de nettoyage d’E-Réputation, car l’image que l’on donne sur le net est devenue un enjeu majeur qu’il convient de maîtriser. Stéphane Alaux, Emmanuelle Hervé et Virginie Bensoussan-Brulé sont des experts du domaine, chacun dans leur spécialité et, à eux trois, ils décident de constituer une task force au service de leurs clients. Afin de préserver l’image de ceux-ci, ces trois experts s’allient aujourd’hui pour le meilleur résultat, en mettant en commun leurs compétences. Qui sont les personnes susceptibles d’être soutenues – voire « sauvées » – par ce groupe d’intervention ? Ce sont les personnalités publiques, les dirigeants de PME ou les entreprises du CAC40…. Les 3 intervenants peuvent répondre à l’ensemble des problématiques liées à la réputation et surtout, ils savent se mobiliser instantanément, pour faire face à une crise avérée et urgente.

Emmanuelle Hervé, spécialiste de la communication et gestion de crise intervient avant, pendant et après la crise. Une fois les propos diffusés et la crise déclarée, c’est l’expertise de l’avocate Virginie Bensoussan qui entre en jeu afin d’identifier une action judicaire. Mais son action vient également en appui direct de la communication. L’avocate sera ainsi en mesure d’encadrer juridiquement les plans de communication de crises pour éviter que ceux-ci ne soient sujets à des actions en justice pour diverses raisons, par exemple des éléments de langages qui contiendraient des propos pouvant être considérés comme diffamatoires.

Si l’action judiciaire permettant de supprimer les contenus offensants ou diffamatoires n’est pas suffisante, c’est le savoir-faire de Stéphane Alaux qui est sur le devant de la scène. Selon lui, « l’identité numérique est primordiale pour une entreprise » et malheureusement, la prise de conscience de cette problématique n’est pas encore assez vive en France. En attendant le réveil des consciences, il se chargera de nettoyer l’Internet de toutes les traces pouvant entacher l’image d’une personnalité publique ou privée, dans le cadre de la campagne lancée par la task force. Stéphane Alaux intervient via sa société Net’Wash, dont il est le dirigeant-fondateur et qui agit sur le Net depuis plus de 20 ans maintenant. Grâce au logiciel Viginet, développé en interne, l’entreprise est capable de surveiller en temps réel le search, ce qui permet d’être immédiatement informé de toute parution suspecte sur le client et d’agir immédiatement en influençant positivement (Principe de la balance) des moteurs de recherche comme Google.

Ces trois experts aux différents parcours, s’unissent avec la même idée en tête : préserver au maximum l’image de leur client pour assurer ainsi la continuité de leurs activités. En effet, leurs expertises sont distinctes, complémentaires et chacune aussi nécessaire pour la réussite du résultat attendu par le client.

La mini bio d’Emmanuelle Hervé et son portrait en quelques questions

Ingénieure de formation, elle commence sa carrière en Inde puis rejoins le groupe de chimie américain DuPont de Nemours, pour développer le marché MENA. A son retour en France en 2005, elle approche le métier de consultant en gestion de crise qu’elle adopte depuis 2008. Elle a fondé et dirige le cabinet EH&A Consulting, spécialisé dans la gestion de crise.

Le cabinet accompagne les organisations publiques et privées dans la gestion et la communication avant, pendant et après une crise, afin de préserver la pérennité de l’activité économique de ses clients, la réputation des marques et des dirigeants.

Pourquoi choisir cette carrière qu’est-ce qu’elle vous apporte sur le plan personnel ?

EH : Je suis ingénieure et j’ai passé 15 ans à pratiquer ce métier dans une société américaine de chimie en sillonnant le monde, mais je passais ma vie dans les avions… Vers 2008 j’ai voulu me poser et me suis naturellement tourné vers mon histoire familiale, en effet je suis née dans la « gestion de crise » car ma mère avait créé une des premières agences indépendantes françaises de gestion de crise, spécialisée dans l’environnement et la santé, pour la pétrochimie et le secteur pharmaceutique.

J’ai donc intégré l’agence et appris le métier sur le tas !

A titre personnel, c’est un métier très gratifiant, car on rencontre les gens sans faux semblant, le temps de la crise n’est plus celui des masques et de vraies amitiés naissent des moments passés ensembles. Certes mes clients sont stressés et parfois pas commodes, mais on est sur de vrais enjeux, de survie de la société, de la réputation de la marque, du job du dirigeant et c’est un challenge hyper motivant.

Comment définissez-vous la gestion de crise et la E-réputation ?

EH : C’est un métier qui vient du domaine militaire ; elle a ensuite été développée pour le civil et notamment pour l’industrie de la pétrochimie par Charles Edelman aux Etats-Unis. En effet le pétrole est une activité dans laquelle l’accident industriel est à la fois probable et très impactant d’un point de vue humain et environnemental, de plus les enjeux financiers liés aux cotations en bourse des acteurs majeurs ont très tôt obligé cette industrie à intégrer la gestion de crise et la gestion de la communication de la crise comme un savoir-faire essentiel à leur survie.

Aujourd’hui la gestion de la crise va couvrir absolument tous les secteurs d’activité, public ou privé et ceci à cause de 2 facteurs principaux une judiciarisation immédiate et la caisse de résonnance des réseaux sociaux.

Deux phénomènes ont amené les entreprises à prendre conscience des risques liés à leur réputation. La première est l’arrivée de l’Internet et surtout à partir de 2013, lorsqu’il est devenu conversationnel. Soudainement, tout ce qui pouvait rester sous le tapis, pouvait être mis à jour et diffusé largement jusqu’à atteindre les médias classiques. Avec Wikileaks et les révélations de Snowden, une autre étape a encore été passée : celle du changement culturel, où tout un chacun s’est senti légitime pour devenir un lanceur d’alerte.

Un autre changement majeur qui nous amené à adapter notre métier à un monde très juridique : la crise des subprimes en 2008, qui a conduit de nombreuses entreprises à fermer. Il a alors fallu gérer en particulier la fermeture des sites industriels, avec tous les risques que cela suppose : séquestration, destruction de matériel, chantage. Les Plans de Sauvegarde pour l’Emploi sont aussi devenus un sujet de gestion de crise.

Sur la E-réputation en particulier, là aussi on voit un changement, qui date des années 2013 – 2014. Avant, les crises étaient le reflet de quelque chose qui s’était passé dans le monde réel. Par la suite, on a eu à gérer des crises qui n’avaient aucun fondement réel. Il ne s’était rien passé, pas de défaut produit, pas de pollution, pas de licenciement tout cela n’était dû qu’à l’existence du web.

Diffamation sur Instagram

Ce phénomène a été accru par l’utilisation massive des réseaux sociaux. Alors que les premières crises naissaient après un évènement marquant imputable à la marque, à l’entreprise, ou à son directeur général, des crises ont vu le jour à la suite d’un simple commentaire publié sur un réseau social fréquenté. Dans le cas crée un véritable bad buzz avec des conséquences, humaines, business, réputationnelles réelles. L’affaire a été compliquée et la marque a mis des semaines à s’en remettre. Ces changements majeurs ont amené les entreprises à prendre les mesures nécessaires et nos métiers à se réinventer.

Finalement, le bad buzz peut être à l’origine d’une crise ou sa conséquence. Bien évidemment, la crise laisse des traces sur internet et ce sont ces traces qui alimentent la crise d’E-réputation. Dans notre jargon, nous parlons de « casier médiatique » et les conséquences sont particulièrement graves pour une entreprise. Le droit à l’oubli ne fonctionne pas bien ! Un buzz peut naître en août 2020 et la société sera en liquidation judiciaire en août 2021 car la majorité de ses ventes se fait via internet. Il faut donc s’y préparer et s’armer.

A quels stades de la crise intervenez-vous et dans quelles mesures vos métiers à tous 3 sont-ils complémentaires ?

EH : Nous intervenons tout d’abord « en temps de paix » , à ce stade ce sont plutôt des entreprises d’une grande taille, voire des multinationales cotées qui ont besoin de s’armer, de s’organiser à l’éventualité d’une crise. On va écrire un plan de crise, former les membres de la cellule de crise et entrainer l’entreprise par des exercices de simulation.

L’autre type d’intervention est « à chaud ». Il y a des crises à cinétique lente ou rapide. La cinétique rapide, c’est l’explosion. Mais le plus souvent les cinétiques sont plus lentes : on sait qu’une chose peut sortir mais on ne sait pas où et quand. Par exemple, si vous avez Elise Lucet ou L214 tournent autour de votre activité.

Nous intervenons auprès de la direction générale et de son comité de direction pour faire face aux conséquences d’un retrait produit, d’un fait de corruption, d’un chantage, d’un bad buzz, d’une violence au sein de l’entreprise, d’un attentat etc.

Dans le cas où l’entreprise n’est pas armée d’une cellule de crise, nous allons prendre en main les premières actions et dérouler la méthode de gestion de crise afin d’en déduire la meilleure stratégie de réponse à la crise, que nous déclinerons par une tactique de communication de crise vers les parties prenantes de l’entreprise.

Enfin nous intervenons également pour accompagner les procédures collectives, PSE, RJ et fermeture de site industriels.

Nos 3 approches sont complémentaires car, même si la gestion de crise donne la méthode qui permet au plus près de combattre les impacts de la crise, et de coordonner les corps de métier, il sera nécessaire de faire intervenir un avocat pour se défendre des attaques juridiques possibles (plaintes des clients, compliance RGPD, respects des contrats commerciaux, diffamation). Enfin la crise va laisser derrière elle un « casier médiatique », qui peut être extrêmement nuisibles aux personnes physiques et à la marque, il conviendra donc de « nettoyer ».

L’accroissement des outils numériques et la massification des échanges est un fait. Quelle influence sur vos métiers ?

E.H : Rien ne disparaît vraiment, chaque occurrence peut être retrouvée… Ce sont donc les suites de crise (justifiée ou non) qui sont difficile à appréhender et qui demandent donc des outils supplémentaires pour soutenir nos clients. En effet, comment peut-on s’en sortir quand on est dans le cas où l’on a été condamné, que l’on a purgé sa peine et qu’on recherche un travail… Trop facile de trouver les antécédents ! Avant, l’employeur se fiait plus à la réalité du moment et à la personne qu’il avait en face. Si vraiment, ensuite, il avait un doute, il lui fallait aller dans les archives des journaux pour vérifier des infos. Aujourd’hui, il a déjà tout sous la main avant d’avoir vu la personne…

Le phénomène et le danger est augmenté par le fait que nombre de dirigeants d’entreprise ou personnalités politiques ont une mauvaise compréhension du web conversationnel, le néglige ou en ont peur, ou les deux.

Pouvez-vous nous donner un exemple de crise bien gérée et 5 conseils pour prévenir ou endiguer une crise ?

Les crises bien gérées ont ceci en commun qu’elles ont été identifiées à temps et que l’entreprise à fait montre de transparence et d’empathie à tous les stades.

Commençons par ne pas aggraver la crise et ne pas tomber dans ce que j’appelle les 7 péchés capitaux : la tactique du bouc émissaire, les abonnés absents (no comment), l’arrogance, la stratégie du contre feu, la globalisation, la victimisation et la réponse juridique.

La stratégie juridique est indispensable mais ce n’est pas une stratégie de communication. La réaction de l’entreprise ne doit jamais être établie dans un langage juridique par des avocats car elle apparaît toujours comme défensive, donc agressive et il ne faut jamais commencer par attaquer. La stratégie juridique et la stratégie de communication doivent être alignées pour ne pas se contredire… C’est là où notre action est importante car très (trop) souvent communiquant et juriste ne sont pas d’accord, n’ayant pas les mêmes enjeux, pas le même temps…En revanche, intégrer une stratégie juridique est indispensable car on doit regarder la crise au travers de ce prisme : il faut se demander quelles sont nos obligations, quels sont les risques juridiques, ce qui peut se passer par la suite, y a-t-il une jurisprudence….

La mini bio de Stéphane Alaux et son portrait en quelques questions

Véritable autodidacte au parcours varié allant de la cuisine à la communication en passant par le droit et l’économie, Stéphane Alaux s’est intéressé au web dès son avènement, alors qu’il était en Angleterre. Il est ainsi devenu un spécialiste de ce nouvel univers et vite précurseur sur les solutions visant à protéger et défendre les entrepreneurs sur le web. Emettant des avis tranchés sur le sujet d’un web à la marge depuis l’avènement du web 2.0 (ou web conversationnel) il avoue faire passer l’intérêt des entreprises avant le respect de cette pseudo éthique qui, pour lui, n’existe pas… Il est spécialisé depuis 20 ans en identité numérique, search marketing et business digital.

Spécialiste avéré du référencement sur Internet, il dirige depuis 2012 la société Net’Wash, qu’il a fondée et se positionne dans la durée comme le leader dans le domaine de la E-réputation en France.

Stéphane Alaux :

Quand intervenez-vous en cas de crise E-réputationnelle ?

Dans la mesure où les actions de prévention, très importantes, ne sont que très rarement mises en place, nous intervenons le plus souvent en bout de course, pour gérer les traces numériques. Nous éteignons les feux…

Une crise d’E-réputation est une perte de contrôle de son image, avec un déséquilibre entre ce que je dis de moi et ce que l’on dit de moi. On connaissait déjà ça dans la vraie vie, mais là on parle d’Internet, ce fameux continent du « tout est possible » et surtout du « tout restera chez moi »…. Je considère qu’on peut parler de crise à partir du moment où en première page de Google, la proportion de ce que disent les autres sur moi est plus importante que je dis sur moi. Lorsque la crise est d’une ampleur internationale, l’information est diffusée en volume considérable. Il est possible que l’on puisse tenter de maîtriser cela de manière préventive, mais c’est bien rare et c’est donc le plus souvent à posteriori que les actions commencent…

Il a seulement 2 options. Soit le problème existe vraiment et donc les traces numériques sont inévitables, soit le problème n’existe pas mais il a été inventé pour être posté sur Internet et là c’est encore pire, puisque l’intention elle-même est mauvaise…. La massification des médias digitaux ne fait qu’accroître l’ampleur d’une telle crise et les premières répercussions sont immédiates.

La société Net’Wash intervient à ce stade et je dois dire que près de 95% du chiffre d’affaires de notre société se fait lorsque la crise est passée. A mon grand dam, car je sais qu’en faisant de la prévention et des actions en amont, on pourrait grandement limiter les dégâts… Mais l’insouciance règne encore au joli pays d’Internet et la chute est très dure. Notre job est de maîtriser rapidement les conséquences et, dans la mesure du possible, essayer de contrarier le courant des événements…

Comment la E-réputation est gérée aux USA ?

Les américains sont extrêmes procéduriers, ils ont une gestion très différente de la nôtre. Si vous dites du mal de quelqu’un, on va vous demander des millions de dollars de dommages et intérêts… En France, ce sera 500 ou 1000 €, parce que la diffamation n’est pas prise au sérieux. Le droit Français et Européen n’est pas vraiment adapté à ces nouveaux comportements. Pour avoir du poids et faire respecter la E-réputation de son entreprise, il n’y a pas vraiment d’outils. Nous sommes aussi victimes de ce que j’appellerais l’esprit latin : on est capable de marcher avec un caillou dans la chaussure. Les entreprises continuent de fonctionner malgré une mauvaise image, elles ne sont pas affolées.

L’esprit américain peut s’étendre à tous les Anglo-Saxons, qui prennent l’E-réputation très au sérieux, comme la « réputation » tout court… En France, malheureusement, les entreprises ne prennent pas conscience qu’il est aujourd’hui incontournable, voire de l’ordre de la survie, de maîtriser et contrôler leur image sur internet. Lorsqu’on parle d’investir dans l’E-réputation, le responsable digital est méfiant. On lui alloue un budget pour une mission précise (qu’il a souvent lui-même planifiée et soumise à sa direction) et cette mission ne comprend pas de poste E-réputation. De fait, ajouter une charge supplémentaire au budget initial n’est pas possible. S’il veut vraiment ajouter ce volet aux autres postes de sa mission, il devra amputer son budget initial. Il est donc réticent et a tendance à mettre l’E-réputation de côté. Par ailleurs ses enjeux ne sont pas les mêmes que ceux du dirigeant. Avec le développement du digital, il pourra très facilement changer d’entreprise, en cas de problème. Le dirigeant subira quant à lui de plein fouet les conséquences de son inconséquence !!! Celui qui a tendance à déléguer la E-réputation doit véritablement s’en saisir, car il est directement concerné par cette problématique. Comme les Relations presse hors produit, la E-réputation devrait prioritairement être validée par le dirigeant et non s’arrêter aux services communication, marketing ou digital… Car lorsque la crise est là, c’est le dirigeant qui paie le prix fort de la chute de chiffre d’affaires, pouvant aller jusqu’à la faillite.

Par ailleurs, certaines entreprises continuent d’investir massivement dans des campagnes de pub télé alors même que leur réputation est catastrophique. Elles assistent à un véritable déséquilibre entre l’investissement et le retour sur investissement. Pour moi, l’E-réputation est la réponse à cet écart. Aujourd’hui les gens se ruent sur internet et l’identité numérique est primordiale pour une entreprise. Il faut comprendre qu’une crise, même bien gérée, continuera sur le Web ; si aucune mesure n’est prise, l’entreprise peut courir à sa perte.

Quels sont les outils dont vous disposer pour prévenir, surveiller et contrôler l’E-réputation d’une entreprise ?

Nous avons créé notre propre outil « Viginet ». Développé en interne sur la base des besoins bien connus du fait de notre expérience, nous l’avons construit pour surveiller le search* en temps réel. Nous avons également une base de données énorme nous permettant de trouver des informations qui ne sont pas encore annexées sur Google ; nous allons chercher des informations dans des forums avant que Google ne les ait annexées ; cette action peut prendre quelques jours mais elle permet de trouver beaucoup plus rapidement des éléments recherchés, cette base de données étant en constante évolution. L’objectif est principalement d’avoir un outil de surveillance efficace pour surveiller le positif et le négatif sur les mots clés que l’on va rentrer sur ce logiciel. Bien sûr, nous utilisons aussi « SEMrush », mais cet outil du marché, extrêmement performant mais global nous propose 80% d’éléments que nous n’utilisons pas. Nous ciblons nos actions et c’est pourquoi nous avons préféré bâtir notre outil, qui correspond exactement à nos attentes.

*Ce qu’on trouve sur Google.fr en fonction des mots clés. Le résultat étant appelé Search Engine Results Page.

Comment s’articule l’intérêt du consommateur et la nécessité de préserver l’image d’un client ?

Notre mission est d’aider le client à préserver son espace de travail. On ne cache pas la vérité et il n’y a aucune forme d’obligation : l’intérêt du consommateur dépend de ce qu’il recherche. Nous souhaitons simplement que l’entreprise qui se met en scène commercialement sur le web puisse maîtriser cet espace qu’est sa « première page ». Nous travaillons à accompagner l’entreprise, dans son intérêt.

A quels stades de la crise intervenez-vous et dans quelles mesures vos métiers à tous 3 sont-ils complémentaires?

Nous sommes contactés une fois que la crise est déclenchée. C’est très long de nettoyer le search, notre métier ayant une certaine inertie. En revanche notre intervention sur les Google news est différente. Le traitement, l’ensevelissement et la récupération de l’image n’est pas le même. Pour y parvenir il faut utiliser des surfaces accréditées Google news. On peut donc intervenir au même moment qu’Emmanuelle et Virginie, mais ce sont elles qui nous donne le tempo et qui déclenchent l’action.

Pour le search, ce sera plus long, cela peut durer des mois. Il est extrêmement facile de dire du mal en publiant. Lorsqu’il n’y a pas eu de construction de digues digitales, il faut bloquer le contenu négatif ou diffamatoire en imposant un autre contenu positif. On arrive ainsi à faire autorité sur les 10 premiers résultats et même les 2 premières pages. Dans ce cas le travail est plus compliqué…

L’accroissement des outils numériques et la massification des échanges viennent elles compliquer votre métier ?

On ne peut intervenir sur les réseaux sociaux, ce sera le travail du juriste. Les RS n’ont pas forcément d’impact sur notre métier de base. Ce qui est nouveau, c’est que tout le monde est un communicant en force (et croit réellement l’être), c’est donc un véritable souci, d’autant que l’anonymat est quasiment imposé. On parle des réseaux sociaux, mais n’importe quelle surface de communication donnant des avis (quechoisir.fr) peut être une véritable catastrophe pour la marque.

Est-il possible de restaurer complètement une réputation entachée ?

Sur les deux premières pages de Google, oui. Un internaute qui cherche le nom du dirigeant de la marque incriminée et l’évocation de l’affaire qui le concerne, trouvera l’information, ailleurs. Mais naturellement et en début de recherche, il trouvera seulement les informations basiques et neutres ou positives sur le sujet. Notre métier ne consiste pas à supprimer ou maitriser la totalité de l’information dans Google. Nous agissons en sorte que la première page d’une entreprise sur Google, qui est un espace de travail, soit vierge d’élément négatif. Notre action est importante pour préserver l’avenir d’une entreprise et s’assurer qu’elle puisse continuer à fonctionner, pour sa santé financière, la sauvegarde de ses équipes et la pérennité de ses activités.

La mini bio de Virginie Bensoussan Brulé et son portrait en quelques questions :

Avocate à la Cour d’appel depuis 2006, Virginie dirige le pôle contentieux numérique au sein du cabinet Lexing Alain Bensoussan Avocats, qu’elle a rejoint en 2006.

Ses domaines de prédilection sont le conseil et le contentieux en droit de la presse, en droit pénal du numérique et de l’informatique, en contentieux de l’Internet et en contentieux Informatique et libertés et bien sûr, ses spécialités sont au cœur des préoccupations liées aux atteintes à la e-réputation et aux litiges internet de toutes natures. Elle a été nommée Best Lawyer dans la catégorie Information Technology Law de l’édition 2019 du classement de la revue américaine Best Lawyers.

Mes 2 parents sont avocats et notre cabinet est familial puisque je l’ai intégré il y a 14 ans et que mon frère Jérémy nous a rejoints à la fin de ses études d’ingénieur, il y a 6 ans… Nous avons un peu « élargi » la famille, avec aujourd’hui 80 avocats et des actions sur les 5 continents.

En quoi la maîtrise de la E réputation est-elle primordiale ?

Au sens juridique, le terme réputation s’applique aux personnes physiques ; sur le web on parlera plutôt d’atteinte à la considération professionnelle pour les personnes physiques et, pour les produits ou services, il s’agit de critique de produits ou services et on parle de dénigrement.

Les entreprises et les dirigeants doivent absolument savoir ce qui se dit sur eux et sur leurs produits. Du fait de la rapidité de propagation de l’information sur Internet et également de sa durabilité, c’est grave. Ce genre d’incident peut créer un climat de défiance de la part des collaborateurs, mais aussi des clients, des autorités de tutelles, etc… Ils doivent donc être vigilants et prendre les mesures nécessaires, qu’elles soient judiciaires ou non, pour rétablir leur image vis-à-vis du public. Dans le cadre d’une atteinte à la réputation, il n’y a que 3 mois pour agir en judiciaire, à compter de la première mise en ligne de propos injurieux ou diffamatoire. Pour le dénigrement, on a 5 ans. Pour les délits de presse, il y a également 3 petits mois pour agir. Cela nécessite que les entreprises mènent des actions de veille et que, en cas d’incident, elles choisissent les actions à mettre en place : cela peut être de ne rien faire, mais elles peuvent aussi tenter de neutraliser le contenu par l’action d’une agence d’E reputation comme Net Wash ou tenter d’obtenir le déréférencement… Il faut aussi identifier la personne à l’origine des propos diffamatoires et il faut bien savoir que, dans la grande majorité des cas, l’auteur sera soit un salarié ou un ancien salarié, soit concurrent. Sur un plan judiciaire, on s’adresse aux Prud’hommes quand c’est un salarié et au Tribunal de commerce pour le concurrent déloyal.

Au sein de la Task Force, comment interviendrez-vous ?

L’intérêt de cette alliance de 3 expertises, c’est que les entreprises, les personnes ou les organisations qui rencontrent un problème de cette nature vont entrer dans le sujet par l’une de nos 3 structures. Chacun d’entre nous ayant l’exacte connaissance de l’activité des autres va savoir qui contacter en priorité. Pour ma part, si mon cabinet est contacté directement, je vais intervenir une fois que les propos ont été diffusés et que leur impact négatif s’amplifie. Je vais d’abord identifier une action judiciaire et voir si elle est opportune et faisable. Si ce n’est pas le cas, je conseillerai le client et l’orienterai vers l’agence de E-réputation pour tenter d’enfouir les contenus. Si l’action judiciaire et primordiale et opportune, je vais poursuivre en justice et demander des réparations pour préjudice moral.

Si la campagne de dénigrement devient diffamatoire au point de créer une situation critique, je vais accompagner les clients et leur conseiller une agence de communication de crise pour valider des plans médias, en communication interne entreprise et à l’externe envers les médias, réseaux sociaux, etc. Des scripts seront formatés pour les services clients. En coopération avec l’agence de communication de crise, je valide le contenu des messages publiés par l’agence, afin d’éviter qu’à son tour la réponse ne soit pas elle-même porteuse de messages potentiellement dénigrants. Il ne faut pas évidemment, que la communication de crise se retourne contre le client.

En amont, j’accompagne nos clients pour former leurs collaborateurs ou agents à respecter la loi quand ils s’expriment au nom de leur entreprise, ou à titre personnel mais en évoquant leur vie professionnelle sur un réseau social ou lors de n’importe quel type de communication impliquant l’identité de l’entreprise.

En quoi cette coopération tripartite est-elle plus efficace pour les clients ?

Dans les situations les plus complexes et graves sur le plan réputationnel, la conjugaison de nos 3 expertises peut permettre aux sociétés victimes de campagnes de diffamation ou dénigrement de rétablir rapidement et durablement l’opinion publique sur leurs dirigeants et leurs produits et services. Ce qui compte, c’est de rétablir l’image de la marque, de la structure et de ses dirigeants dans l’esprit du public, au sens large. Si je pense aux banques, par exemple, leur autorité de tutelle est la CPR à qui ils rendent des comptes et ils ne peuvent donc absolument pas se permettre de ternir leur réputation.

On se trouve démuni face à ce type de comportement, mais il est assez facile d’identifier les auteurs des propos diffamatoires quand ce sont des salariés ou des concurrents, car ils ne savent pas très bien se cacher… Il est donc assez facile d’intervenir et obtenir réparation par la justice civile ou pénale.

Je souhaite ajouter un point que je trouve très important, car mal appréhendé par le public, c’est la relation légale avec les plateformes américaines (FB, Twitter etc..). C’est important car tout le monde les utilise !! Elles coopèrent avec la justice française, sous réserve toutefois qu’on aille au-delà de la simple mise en demeure. Mais, dans le cas où des contenus diffamatoires sont postés sur leur plateforme, elles exécutent, sous certaines conditions bien sûr, les décisions de justice qui sont rendues à leur encontre, même étrangères.

ISO e-Réputation

Posted on juillet 29, 2022août 17, 2022 by Administration

E-réputation : «Les projets de normes ISO sont des opportunités d’influer sur les pratiques de demain»

Emmanuelle Hervé, animatrice du groupe de travail français sur l’e-réputation, perçoit les futures normes internationales comme des moyens de clarifier des questions complexes, alors que les pratiques de certains acteurs américains sont mises à mal en Europe.

Les problèmes liés au droit à l’oubli sur Internet, suite à la décision de la Cour de Justice de l’Union Européenne , sont autant d’invitations à se mettre autour de la table pour tous les professionnels de l’e-réputation. « C’est une question très compliquée pour les avocats, les prestataires de services et bien sûr les entreprises et les particuliers » analyse Emmanuelle Hervé, pour décrire la situation. « Quand les uns recommandent de retirer des documents en ligne parce qu’ils sont préjudiciables, d’autres disent que cela peut être néfaste car des personnes auront certainement fait des copies pour les ressortir à un moment donné. Du côté des moteurs de recherche, les comportements face aux demandes de désindexation sont inégaux et souvent peu transparents. Des entreprises proposent bien leurs services pour agir mais là encore, avec leurs propres modes opératoires. La normalisation est donc une opportunité de réunir tout le monde pour s’accorder sur un process, sur le droit oubli, qui serve l’intérêt général ». Et les médias ? Quels rôles peuvent-ils jouer ? « Leur position est essentielle : auparavant, les articles étaient uniquement imprimés. Leur impact était donc éphémère, puis ils étaient oubliés au fil des parutions. Aujourd’hui, un article sur le web doit-il rester accessible à jamais alors que l’actualité de la personne ou de l’entreprise est périmée ? La question mérite d’être posée » résume Emmanuelle Hervé.

La suite de cet article sur http://www.afnor.org/liste-des-actualites/actualites/2015/avril-2015/e-reputation-les-projets-de-normes-iso-sont-des-opportunites-d-influer-sur-les-pratiques-de-demain

Responsabilité pénale des dirigeants : un risque aux conséquences graves et durables pour la réputation des dirigeants et des marques

Posted on juillet 29, 2022juillet 29, 2022 by Administration

Gestion de crise et communication de crise

Selon le cabinet d’avocats Baro Alto en 2015, 82% des entreprises estiment que le risque zéro en matière pénale n’est pas un objectif réalisable en France (lire le livre blanc). En effet, les sanctions pénales françaises contre les dirigeants d’entreprise se sont aggravées, ainsi que leur probabilité d’occurrence. La réputation de l’entreprise est en jeu quand l’enquête est publique. Une condamnation peut nuire aux relations d’affaires, à l’activité économique de l’entreprise et déstabiliser toute l’entreprise. Il est indispensable que les dirigeants sachent faire face au risque pénal et prennent en compte les facteurs endogènes nouveaux (le lanceur d’alerte) et exogènes (les atteintes à la réputation).

Combien d’entreprises françaises sont concernées par les poursuites pénales ?

Une entreprise sur 3 est impliquée et 91% des entreprises estiment que la mise en cause de la responsabilité pénale peut avoir des effets négatifs sur l’activité de l’entreprise. Du fait de son statut de mandataire social, le dirigeant est plus facilement mis en cause.

Attention également, Les délits commis par des collaborateurs sont aussi de la responsabilité du dirigeant.

Voici un panorama réalisé par Baro Alto :

Des principaux risques pénaux les plus fréquents.
Des acteurs pouvant mettre en cause la responsabilité pénale des dirigeants.

Quel est le profil type du lanceur d’alerte interne à l’entreprise ?

Ce nouvel acteur est un véritable risque pour l’entreprise et le dirigeant. Il est protégé par la loi, qui lui permet un « droit d’alerte ». Quand il passe par un dispositif d’alerte au sein de l’entreprise, il peut bénéficier de confidentialité. Cependant, il n’est pas à l’abri de poursuites contre lui.

Son profil peut se dessiner ainsi :

Un homme de 43 ans.
Il travaille dans le management à un niveau intermédiaire.
Il a une personnalité réfléchie.
Et il est motivé d’agir en cas de conscience.

L’alerte est surtout donnée dans le secteur des banques et des finances, surtout contre la fraude et l’évasion fiscales, ainsi que la fraude aux émissions de gaz polluants.

Les enjeux actuels en matière de législation pénale

La loi Sapin 2 demande une obligation de prévention et de détection des risques de corruption ou de trafic d’influence dans les entreprises d’au moins 500 salariés, avec un chiffre d’affaires d’au moins 100 millions d’euros. La loi définit également le statut du lanceur d’alerte et une procédure de signalement graduée.

Didier Lombard, ancien président de France Télécom (Orange) et l’affaire des suicides des salariés en 2009 : l’année dernière, le parquet de Paris a pris la décision de le poursuivre en correctionnel pour avoir créé « un climat professionnel anxiogène ».

Comment se défendre ?

Les dirigeants doivent être conscients de leurs droits. Depuis 2011, l’avocat peut assister à toutes les audiences, pendant la garde à vue et l’audition libre. Ils peuvent utiliser la procédure du « plaider coupable », ce qui permet la négociation de la peine et une plus grande discrétion. Cependant, le dirigeant doit assumer les conséquences de la condamnation pénale. La convention judiciaire d’intérêt public (CJIP, une transaction pénale pour les personnes morales) est peu attractive et elle a de lourdes conséquences en matière de gestion de la réputation. Généralement, les tribunaux poursuivent simultanément la personne morale et le dirigeant.

Comment minimiser les atteintes à la réputation ?

Il est difficile de chiffrer les conséquences d’une atteinte à la réputation. On sait cependant que le coût moyen d’une crise se situe autour de 0,5 millions d’euros. En amont de la crise, les outils possibles sont la couverture assistance (soumettre une assurance Responsabilité des dirigeants qui prend en charge les frais de protection de l’e-réputation), l’utilisation de délégations de pouvoir, la formation des dirigeants et la définition de procédures interne qui définiront à l’avance qui fait quoi en une telle situation.

En effet, les dirigeants et les salariés doivent être formés et préparés à l’éventualité d’une crise. Un système de procédures internes de gestion des alertes doit être mis en place, ainsi qu’un outil de protection de la réputation. La politique de prévention est un projet transverse à l’entreprise.

Conclusion

Les dirigeants d’entreprise ont la possibilité se tenir informer de la multiplicité des risques et des nouvelles législations pénales. L’émergence de nouveaux acteurs complexifie la compréhension des responsabilités. Aussi, les médias et les réseaux sociaux sont des sources amplificatrices de la crise.

La prévention et l’anticipation permettent aux dirigeants de ne pas être démunis face au risque pénal et à la gestion de la crise qui peut en découler.

Les achats responsables en Afrique : opportunités et limites

Posted on juillet 29, 2022août 17, 2022 by Administration

Une nouvelle norme internationale : l’ISO 20400

Face au nouveau cadre international d’achats responsables, qui associent responsabilité sociétale et développement durable, les pays occidentaux tentent de diffuser ce devoir de vigilance.

Depuis avril 2017, une nouvelle norme ISO 20 4000 s’applique désormais aux achats (par l’ISO 26 000 de 2012). Ce nouveau cadre se dessine en quatre axes :

La compréhension des fondamentaux des achats responsables, la fixation des concepts et des principes
L’intégration de la responsabilité sociétale dans la politique et la stratégie achats de l’organisation
La structuration de la fonction « Achats » axée sur la responsabilité sociétale
L’intégration de la responsabilité sociétale dans les achats

Evolution de la pensée internationale sur les achats responsables, réalisée par Buy your way (2017)

Ce devoir de vigilance s’inscrit dans une nouvelle tendance internationale de fond. Cette dernière s’est créée en plusieurs étapes : la société civile a insufflé et imposé un ras-le-bol depuis l’effondrement du Rana Plaza au Bangladesh, qui s’est transmis vers l’OCDE, l’ONU par la définition de principes directeurs (ISO 26 000) puis au niveau national par une série de lois punitives (la directive Barnier, la loi sur le devoir de vigilance, la loi Sapin II). On peut parler d’un passage du soft-law (le conseil) vers la hard-law (la loi répressive). Enfin, au niveau de l’entreprise elle se diffuse par trois attitudes à adopter : identifier, traiter et rendre compte.

Les achats locaux en Afrique : relier les achats aux ODD

D’une manière générale, les achats responsables en Afrique représentent 40 à 60% du chiffre d’affaires des entreprises, et 15 à 20% du PIB d’un pays de l’OCDE se dirige la commande publique.

Il est important de relier les achats responsables aux Objectifs de Développement Durable (ODD). L’ODD 12 « Consommation et production responsables » permet à des entreprises d’établir des modes de consommation et de production durables. Par exemple, la société Office Supply propose une offre écologique au Sénégal. L’ODD 8 « Travail décent et croissance économique » contient la gestion du risque social : en 2014, l’ONG Oxfam a notamment pu contester le ramassage des fraises au Maroc et demander de meilleures conditions de travail pour les ouvrières. En 2016, l’ONG Amnesty International a rappelé à l’ordre Apple, Samsung et Volkswagen sur l’extraction du cobalt par les enfants en RDC.

Ou encore, l’ODD 13 demande la prise d’urgence de mesures pour lutter contre les changements climatiques et leurs répercussions. Afin de la respecter, des industries du cacao (Nestlé notamment) s’accordent pour diminuer les impacts des changements climatiques.

Les achats responsables : ce qui existe déjà en Afrique

L’enjeu principal d’un achat responsable est de réaliser un achat après de fournisseurs globalement « responsables ». Des pays africains proposent de produire et vendre des marchandises responsables. C’est même un argument de vente pour les produits africains. A noter, le coton des uniformes de la SNCF provient d’une entreprise de coton équitable malienne, sous-traitée par Cepovett.

C’est surtout l’entreprise britannique Tullow Oil qui a un rôle de locomotive et sociétale des achats. Elle a une vision stratégique d’avenir de ses achats. 2 240 fournisseurs travaillent directement pour Tullow depuis l’Ouganda, le Kenya et le Ghana. En 2015, l’entreprise a dépensé 309 millions de dollars auprès des fournisseurs locaux au Ghana, en Ouganda et au Kenya.

Tullow Oil et Invest in Afrique, association à but non-lucratif, sont notamment à l’initiative de l’African Partner pool (APP) : c’est un portail de marché en ligne qui permet de connecter les fournisseurs locaux vers les multinationales.

Une autre plateforme en ligne tente d’initier cette pratique : Valeurs AfricAchats, association sénégalaise d’achats en BtoB, se présente comme un action-tank (et non un think-tank) pour réfléchir et échanger autour d’une meilleure pratique des achats. Des multinationales telles que Nestlé, Total ou Teranga gold en font partie.

Les limites en Afrique

Il existe un fort potentiel d’entrepreneurs chez les jeunes africains, mais 84% des emplois concernent encore le secteur informel. Dans ce cas-là, que faire avec les marchés informels camerounais et ivoirien ? Faut-il arrêter de travailler avec eux ? Ou comment peut-on les faire basculer dans la transparence ? Il existe des outils digitaux pour faciliter les factures, les transferts et les virements pour ainsi devenir fiscalement visible. S’il n’y a pas de progrès dans ce domaine-là, il sera de plus en plus difficile de travailler avec le secteur informel. Même si les grands groupes promettent ne pas travailler avec le secteur informel, le niveau N-2 – leurs fournisseurs – sont en contact avec ce secteur.

Aussi, les plans et les méthodes d’achats responsables locaux sont fournis par la Banque mondiale : cela n’est pas suffisant et reste très théorique.

La plus grande problématique pour les entreprises reste de trouver et d’identifier les fournisseurs. Quelle serait la place pour les PME et les TPE ? Elles pourraient être identifiées communément. L’association « Invest in Africa » est une solution possible.

FCPA : arme d’américanisation massive ou simple procédure extraterritoriale, comment s’y préparer ?

Posted on juillet 29, 2022juillet 29, 2022 by Administration

Feuilleton de l’été ! EH&A vous propose une analyse en deux parties sur la gestion d’une crise judiciaire. Ce mois-ci nous nous attardons sur les bons réflexes à avoir pour se préparer et agir au mieux si votre entreprise est accusée de corruption.

Par Paul Delpuech

Derrière ce titre racoleur se cache une inquiétude grandissante pour les grandes – comme les plus petites – entreprises françaises : l’extraterritorialité du droit américain à travers le Foreign Corrupt Practices Act (FCPA). Une véritable arme à la puissance de feu telle qu’elle permettrait à l’Oncle Sam de prendre le pouvoir sur des groupes français. Depuis 1977 et l’adoption de cette loi, la justice américaine peut poursuivre toute entreprise soupçonnée de corruption dès lors que celle-ci à un lien, même mineur, avec les Etats-Unis (nous en parlions déjà ici). Une transaction effectuée en dollars suffit par exemple pour poursuivre une entreprise française (autant dire que leur capacité d’action est large…).

Les procédures engagées par le Department of Justice (DoJ) connaissent une nette augmentation notamment depuis le programme de rémunération des lanceurs d’alerterenforcé en 2011 par la Securities and Exchange Commission (SEC). Depuis, il a conduit au versement de plus de 111 millions de dollars aux « whistleblowers ». Ces derniers peuvent recevoir entre 10% et 30% des amendes collectées. Une incitation à la dénonciation qui n’avait été, en 2016, que peu mobilisée dans le cadre du FCPA. Arme d’intelligence économique ou non, ces procédures sont longues, pénibles et peuvent s’avérer désastreuses – tant financièrement qu’en matière de réputation… La gestion de crise est donc un outil utile et même incontournable pour donner au groupe les moyens de piloter cette période de doute.

Comment agir ?

Le risque juridique mieux appréhendé

Alors que le risque juridique est mieux appréhendé qu’auparavant par les états-majors des grands groupes français, doit-on voir la Loi Sapin 2 comme le détonateur de cette « mise en conformité » en termes de compliance ? Difficile de le dire, le FCPA étant entré en vigueur en 1977. Le deuxième amendement de cette loi, en 1998, a étendu un peu plus son champ d’application, au-delà des frontières américaines, en y incluant certaines personnes physiques étrangères. Les sociétés françaises n’ont sans doute pas attendu la loi Sapin II pour réaliser les risques d’une telle procédure. Les cas d’Alstom et de Technip, condamnés à des amendes respectives de 772 et 338 millions de dollars ont eu un retentissement médiatique colossal. Cependant, cette initiative française oblige les entreprises à mettre en place des mesures de compliance (Due Diligence, questionnaires, chartes éthiques, voire création du poste de compliance officer) qui peuvent devenir lors de procédures du DOJ de véritables ressources pour sauver les meubles et sortir des griffes américaines sans effet dévastateur.

Etre proactif

Les groupes avec une forte gouvernance, pilotés par des dirigeants qui ont imposé des règles strictes et des codes de bonnes conduites sont ceux qui, même en cas de procédure, affronteront la situation avec davantage de confiance. C’est ce « Tone from the Top » qui peut d’ailleurs servir dans une communication post-sanctions et sauver au moins les apparences à condition de réunir des éléments de preuve antérieurs à la décision. Appréhender le risque juridique en se dotant de procédures de contrôle est donc le minimum sine qua non qui est – aujourd’hui plus que jamais – un enjeu économique.

En termes de gestion de crise, il s’agit de cartographier les parties prenantes, connaître ses alliés et établir des liens particuliers avec des personnes physiques chez les partenaires ou les clients les plus importants qu’il faudra mobiliser par la suite. Connaître son environnement revient à appréhender chaque situation de crise un peu plus sereinement.

Constituer un fonds de provision

La constitution d’un fonds de provision est une obligation ; même si l’on imagine mal les grands groupes, habituellement cibles privilégiées du DoJ, de ne pas l’avoir anticipé. Les sociétés aux activités dans des pays où la corruption « fait partie des meubles » et qui appartiennent aux secteurs qui semblent les plus sensibles (énergie, défense voire bancaire dans les cas de violation d’embargo) doivent être armées financièrement.Pour que le groupe « résiste » à ces amendes lourdes et aux coûts des procédures (enquête interne, frais d’avocats…) qui en découlent, il doit disposer de fonds considérables.

Comment réagir ?

Collaborer… réellement

Lorsque le Departement of Justice dispose de soupçons assez conséquents pour ouvrir une enquête, il le notifie aux dirigeants de l’entreprise. Il se peut même que ces derniers soient entendus durant un passage aux Etats-Unis sans forcément s’y attendre. Préparer ses dirigeants à la garde à vue peut donc s’avérer utile. Les autorités demandent très rapidement au groupe de collaborer, une requête difficilement réfutable. D’abord parce que sans coopération, son attitude sera interprétée par le DoJ comme une entrave à la justice. Et que l’amende risque d’augmenter d’autant. Pour rappel, les issues se déclinent entre : le Non Prosecution Agreement, le Deferred Prosecution Agreement(DPA) et le Guilty Plea.

Le DoJ dispose de moyens si conséquents qu’en cas de non collaboration les autorités américaines avanceront leurs pions jusqu’à obliger le groupe ou l’entreprise à coopérer ; que ce soit en agitant la menace de l’interdiction de licence bancaire (Banque Standard Chartered en 2012), la suspension de privilèges d’exportation (Lockheed Corporation en 1994), le retrait de la licence d’exploitation, l’impossibilité de se présenter aux procédures d’attribution de marchés publics ou aux programmes gouvernementaux, le tout en plaçant en garde à vue ses dirigeants. Frédéric Pierucci, surnommé « le cadre maudit d’Alstom » en a fait les frais. Condamné à 30 mois de prison pour des faits de corruption en Indonésie en septembre 2017, il avait été arrêté, lors d’un déplacement professionnel aux États-Unis, en 2013. Les autorités américaines répétaient alors dans les médias à qui voulait l’entendre le manque de coopération d’Alstom. De là à voir cette arrestation comme un moyen de pression^[1]… Difficile de résister donc.

La coopération est donc quasi obligatoire, mais attention à le faire réellement sans « entraver » l’enquête. Les enquêteurs américains sont très sensibles à ce que la coopération soit totale et ne manqueront pas de faire savoir qu’il en a été autrement, soit dans le montant de l’amende soit dans leur communication. L’exemple le plus frappant, c’est celui d’Arthur Andersen LLP. Cette société de comptable avait reçu d’Enron (alors en chute) 26 caisses de 60 kilos et 24 autres de 25 kilos de documents que les auditeurs avaient pour consignes de détruire. Accusé d’avoir détruit des preuves, le scandale avait été si retentissant que 40 des clients les plus importants et historiques du cabinet avaient changé d’auditeur (Merck, FedEx, Ford…)^[2]. On note cependant qu’Andersen avait pu bénéficier du soutien de certains de ses employés. À l’époque, le 20 mars 2002, 500 salariés, vêtus de tee-shirt frappés « I am Arthur Andersen » s’étaient réunis devant la cour fédérale de Houston réclamant l’abandon des poursuites. Soutien dont toutes les entreprises ne peuvent pas se vanter. Ce que l’histoire retiendra dans le cas d’Arthur Andersen, c’est que la médiatisation de l’affaire et la simple ouverture d’une enquête (la sanction finale sera annulée par la cour suprême) a entravé les opérations commerciales du groupe et fait fuir ses « gros clients ». Voilà une autre conséquence connexe qui prouve la nécessité de collaborer et de communiquer promptement vers ses clients majeurs. Car sans coopération, le Department of Justice usera de tous ses moyens d’enquêtes jusqu’à trouver des preuves tangibles, rendant la défense de l’entreprise encore plus difficile.

Communiquer pour être audible à destination de ses partenaires stratégiques

Concernant la communication de crise, les pratiques sont plus au « low profile »qu’à l’ouverture. En s’appuyant toujours sur l’exemple précédent, le siège d’Andersen France avait, à l’époque, écrit une lettre à tous ses clients reconnaissant les erreurs graves commises aux États-Unis tout en demandant à ne pas « subir d’amalgame », l’objectif étant d’éviter une contamination. Plus généralement, les entreprises attendent les avancées de l’enquête et surtout de l’enquête interne, ce qui peut être un frein à une gestion de la communication de crise efficace. La plupart du temps, elles publient un communiqué de presse laconique sur l’ouverture d’une enquête en adoptant une attitude responsable et usant du« plus jamais ça ». Cette communication veut marquer une cassure entre l’avant et l’après, une façon de tourner la page qui peut laisser l’opinion publique perplexe.

Les sociétés doivent comprendre qu’elles sont en situation de crise avant même la publication dans la presse. Le risque de fuites et les impacts directs sur l’organisation et le business doivent pousser les dirigeants à se projeter dans une gestion de crise qui sera longue. Ce « mindset » de crise doit être d’autant plus un réflexe pour les sociétés cotées en bourse dont les activités sont scrutées. Les enjeux entre le juridique et la communication seront autant de points de tension et d’arbitrage qui devront être maitrisés pour trouver un consensus et ainsi appréhender la crise de manière intelligente.

Cette enquête interne est souvent « le refuge » des groupes sous le joug d’une procédure du DoJ. Dans leur communication de crise ils vont sans cesse renvoyer journalistes et partenaires vers cette enquête. Dans la procédure les autorités américaines demandent l’ouverture d’une enquête interne qui doit être conduite par des avocats indépendants financés par le groupe lui-même. Celle-ci coûte une nouvelle fois de l’argent à l’entreprise d’où la nécessité de constituer en temps de paix un arsenal de contrôle et un fonds de provision important. L’obligation de coopérer conjuguée à l’enquête interne contraint les sociétés à s’auto-incriminer et fait le jeu des autorités américaines. Ces enquêtes posent d’ailleurs question quant au choix du cabinet d’avocats. Airbus a révélé l’ouverture, fin octobre 2017, d’une enquête américaine portant sur la réglementation d’exportation d’armes (ITAR). L’avionneur européen a fait appel à une maison américaine qui a obligation de dénonciation à ses propres autorités. Une décision très commentée^[3]qui a poussée Ted Mayer, président du cabinet d’avocats d’affaires Hughes Hubbard & Reed – et conseil d’Airbus – à s’exprimer dans la presse. Côté experts, on reste nuancé sur les raisons (compétences, spécialisation des cabinets…) qui amènent les entreprises françaises à se tourner vers des cabinets américains. Reste que ces choix viennent au mieux nourrir le sentiment d’une souveraineté perdue au profit de la grande puissance américaine ; au pire, font craindre le transfert de données sensibles et stratégiques collectées en Europe vers les États-Unis.

A suivre…

Retrouvez la suite de notre analyse le mois prochain ! Nous nous intéresserons aux conséquences transversales d’une telle procédure.

[1]Bruna Basini, Frédéric Perucci, « Le « cadre maudit d’Alstom », condamné à 30 mois de prise aux Etats-Unis », Europe1 [en ligne], 26 septembre 2017.

[2] Philippe Coste, Julie Joly, Vincent Nouzille, Pierre-Alban Pillet, « La chute de la maison Andersen », L’Express [en ligne], 28 mars 2002.

[3] Dominique Galloishttp, « Ted Maye, conseil d’Airbus : « Les avocats américains ne sont pas liés à leur gouvernement », Le Monde [en ligne], 1er janvier 2017.

Crise de E-réputation : un sujet hautement inflammable, que peut éteindre la « Task Force » créée par 3 experts…

Posted on juillet 29, 2022août 17, 2022 by Administration

…