Le saviez-vous ?

La Class Action : une menace réelle ?

http://alphastockimages.com/

Une class action ou plus communément appelée : action collective est une défense groupée. Cette action a été mise en place en France en 2014 suite à la loi Hamon du 17 mars. La première class action a eu lieu aux Etats-Unis en 1947 suite à l’explosion du navire SS Grandcamp. A l’issue de cette explosion, une plainte collective a été déposée à l’encontre du gouvernement fédéral par 8485 personnes.

Celle-ci peut être commanditée par des personnes physiques ou morales ayant subi un préjudice économique, matériel, et/ou corporel par une même personne. Cette personne, l’accusée a commis un manquement de même nature à ses obligations légales ou contractuelles. Cette démarche permet aux demandeurs d’obtenir réparation devant la justice. Un avocat gère conjointement les procédures individuelles de chaque plaignant.

Dans quelles circonstances peut ont attenter une class action en France ?

  • Au moins 2 personnes doivent estimer avoir subi un préjudice résultant d’un même manquement d’un professionnel ;
  • Seules les associations nationales agréées de défense des consommateurs ( CNAFAL, CNAFC, CSF, Familles de France, UNAF, AFOC, CNIL…) peuvent agir et introduire en justice une action de groupe ;
  • L’action de groupe vise à réparer un préjudice matériel pour des litiges relevant de la consommation ou de la concurrence.

La class action française en chiffres :

  • 12 class actions lancées depuis 2018 dans le secteur de la consommation.
  • 15 acteurs nationaux agréés pour mener les démarches d’action de groupe.
  •  50 000€ de fonds de lancement de procédure en moyenne (frais d’avocats, temps de travail, suivi des consommateurs…)
  • 6 domaines d’application de la class action
  • 2 à 4 ans de procédure en moyenne.

© CAPITAL

Exemples de class action en cours en France :

  • UFC -Que Choisir contre Canal + : le 27 avril 2021, l’association de consommateurs UFC-Que Choisir a lancé une class action contre Canal +. En 2017, la chaîne avait appliqué une augmentation du prix de l’abonnement sans demander l’accord de ses clients. Même si le groupe a payé une amende de plusieurs millions, la plupart des abonnés concernés n’ont pas été informés de ce prélèvement ni de leur droit à être remboursé. UFC-Que choisir a donc lancé cette action pour que les abonnés puissent bénéficier d’une réparation.
  • V pour verdict contre les assureurs : À cause de la Covid-19, de nombreux commerçants ont été contraints de fermer leur établissement. Cependant, bon nombre d’entre eux ont souscrit une assurance perte d’exploitation. Malgré cette garantie, certains assureurs refusent d’indemniser les commerçants au motif qu’une pandémie n’est pas prévue dans le contrat.

Quels sont les domaines d’application de la class action ?

En novembre 2020, une nouvelle directive européenne a été approuvée. Celle-ci change les dimensions de la protection des intérêts collectifs des consommateurs. Grâce à cette nouvelle directive, deux consommateurs situés dans des pays différents de l’Union Européenne pourront saisir une entité qualifiée afin de les représenter et d’engager une action de groupe devant une juridiction d’un État membre de l’Union européenne. Il est également possible, pour éviter toutes dérives de créer un « perdant payeur » en vertu duquel la partie perdante rembourse les frais de procédure à la partie gagnante.

Quels sont les enjeux et les impacts de la class action pour les entreprises ?

Pour les entreprises, une class action peut avoir des conséquences :

  • Économiques : cela peut engendrer une fragilisation de sa position concurrentielle, un risque de faillite et une perte de compétitivité.
  • Médiatiques : l’entreprise peut subir un chantage judicaire et les menaces de procès sont très souvent relayées par les médias, ce qui peut rapidement entacher la réputation de l’entreprise.
  • Réputationnelles : comme mentionné précédemment, la pression médiatique va impacter l’image de l’entreprise.

Malgré un commencement prometteur, la class action à la française n’est pas un franc succès. En effet, même si l’importation de ce concept américain présageait un nouveau tournant pour les droits de consommateurs, plusieurs failles ont freiné son bon fonctionnement. Tout d’abord, les procédures sont extrêmement longues (parfois plusieurs années) et le financement nécessaire est souvent trop élevé pour les associations agréées. Par ailleurs, rares sont les class action qui ont abouti à une indemnisation.

Le pari risqué d’Axa : Axa suspend sa garantie cyber-attaque !

Le contexte

En 2020, l’ANSSI rapporte une hausse de 255% des attaques par rançongiciels par rapport à 2019. En réponse à cette augmentation, les assurances ont développé des assurances cyber dédiées aux entreprises victimes de cyberattaques ou en prévision des risques de cyberattaque. C’est ainsi que l’assureur Axa a créé une assurance Cyber-risques s’adressant à tout type d’entreprises et leur permettant de bénéficier d’une couverture complète ainsi que d’un accompagnement en cas de crise. Des assurances telles que April, Hiscox, Allianz ou encore MMA proposent également des assurances dédiées aux risques cyber.

Les faits

Malgré le nombre d’assurances cyber existantes sur le marché, Axa France est la seule assurance à avoir suspendu début mai 2021 l’option « cyber rançonnage » de son assurance Cyber Secure, disponible aux entreprises depuis mi-2020.

Cette décision a été prise suite à une audition au Sénat du 15 avril 2021, au cours de laquelle le parquet de Paris et l’ANSSI ont émis certaines critiques à l’encontre des assureurs et notamment sur le « jeu trouble de certains assureurs ». En effet, les assureurs favorisent le paiement de la rançon au détriment de l’indemnisation prévue par leur assurance. Cette pratique serait, en effet, moins coûteuse aux assurances que le paiement des indemnités à la suite d’une attaque par rançongiciel. Le paiement des cyber rançons par les assureurs est un sujet vivement discuté, notamment sur les réseaux sociaux.

Par ailleurs, selon l’assureur Hiscox, en matière de paiement des cyber rançons la France se place parmi les pays qui payent le plus les rançons derrière l’Allemagne et les Etats-Unis.

Axa victime d’une cyberattaque à la même période

Le 16 mai, Axa annonce avoir été victime d’une cyberattaque par rançongiciel dans une de ses filiales en Asie où trois téraoctets de données sensibles auraient été volés. Les activités de l’assureur ont été impactées en Malaisie, aux Philippines, en Thaïlande ainsi qu’à Hong Kong. Le groupe Avaddon qui a revendiqué cette attaque a mis fin à ses activités le 11 juin dernier en fournissant les clés de décryptage correspondant aux attaques perpétuées dans différentes entreprises. Toutefois, selon le Financial Times, la cyberattaque aurait eu lieu avant l’annonce de la suspension de la garantie cyber faite par l’assureur.

Recommandations en cas d’attaque par rançongiciel

Le paiement de la rançon encourage les activités des hackers et va à l’encontre des recommandations faites par le gouvernement qui préconise autant que possible le non-paiement des rançons en cas de ransomware. Cette recommandation gouvernementale est d’autant plus importante que le paiement de la rançon n’implique pas automatiquement la restitution et récupération des données. En effet, selon une étude réalisée par Sophos sur l’état des ransomwares en 2020, 26% des victimes ont pu récupérer leurs données par le simple paiement de la rançon tandis que 56% des victimes ont pu récupérer leurs données par le biais de sauvegardes. Dans les autres cas, la récupération des données a été impossible.

Le non-paiement de la rançon reste une pratique fortement recommandée, le contraire signifierait céder aux hackers et inciter des récidives.

Reste à voir si le gouvernement et les autres assureurs vont suivre le mouvement initié par Axa !

Les crises n’attendent pas la fin du covid : les B.A – BA de la gestion de crise en ligne

L’épidémie de COVID nous a brutalement rappelé que la gestion de crise, aussi, devait être repensée au regard des contraintes sanitaires. Jusqu’à présent le concept de gestion de crise virtuelle ne faisait qu’évoquer un dispositif dont certains membres de la salle de crise seraient absents plus ou moins temporairement. Aussi, en tant que professionnels de la crise nous avons su adapter et faire évoluer nos méthodes de travail pour faire face à cette crise sanitaire. Notre rôle a été crucial pour inventer et partager de nouvelles pratiques de gestion de crise, pour éclairer les réflexions des dirigeants sur les conséquences organisationnelles et sociales de cette nouvelle situation.

Avec la crise de la COVID-19, cette notion de cellule de crise virtuelle est donc au cœur de l’actualité. La généralisation du télétravail a imposé cette méthode de travail, nous avons été obligés de gérer la crise du COVID-19 à distance. La cinétique de la crise étant lente, ce sont finalement de nouvelles modalités d’animation des équipes dirigeantes qui se sont mises en place. Pour autant, les équipes de gestion de crise ont encore des choses à apprendre sur la manière de gérer une cellule en ligne. L’expérience de la gestion du COVID-19, a permis de commencer à appréhender ce qu’est une cellule de crise virtuelle sans pour autant en maîtriser toutes les complexités.

Pendant cette crise, les entreprises ont organisé des comités de direction plus fréquemment et à distance. Cependant, d’après notre questionnaire, seulement 25% des personnes interrogées utilisent des logiciels de visioconférence pour leur cellule de crise. Un nombre faible qui démontre ce besoin d’adapter ses méthodes de travail.

Qu’est-ce qu’une cellule de crise virtuelle ?

Une cellule de crise virtuelle est une cellule sans aucune présence physique. La gestion des premières heures ainsi que le partage d’information sont cruciales. En effet les étapes de la gestion de crise ainsi que les objectifs restent les mêmes, il faut simplement apprendre à adapter ses process et son organisation de manière virtuelle. L’ouverture d’une cellule de crise est toujours dictée par la réception et l’analyse d’une alerte, il en est de même lorsque la cellule est virtuelle.

Pourtant, la gestion de crise à distance n’est pas un nouveau concept. Lorsqu’une crise se déclenche et commence à s’étendre, les différents intervenants n’ont pas forcément la possibilité de se réunir et doivent parfois gérer la crise à distance. Prenons l’exemple d’une usine en feu, les principaux intervenant peuvent rarement se rendre sur site et doivent diriger leur cellule de crise depuis le siège. Lors de ce genre d’incident industriel grave, la cellule doit se réunir rapidement, or, le directeur, le régisseur et le juriste par exemple ne sont pas dans les mêmes locaux au quotidien. De plus, depuis les dix dernières années, les membres du COMEX travaillent tous dans des lieux différents : le CFO à New York, le COO à Genève, le directeur commercial à Londres etc.

Pourquoi serait-il intéressant de monter une cellule de crise virtuelle ?

Grâce à l’absence d’un point de rassemblement physique, on évite d’avoir des points faibles physiques ou informatiques qui pourraient faire l’objet d’attaque, notamment de cyberattaque. L’objectif est de décentraliser la cellule tout en centralisant les informations et la communication sur une plateforme sécurisée.

La cellule de crise virtuelle permet également d’éviter les effets de group thinking, en effet être enfermé à plusieurs dans une pièce pendant plusieurs heures peut créer du conflit et une incapacité à s’enfermer dans un raisonnement unique. Ainsi la distanciation facilite la rupture avec ces obstacles et permet une prise de parole individuelle. C’est en fait une manière d’éviter les biais cognitifs tels que le biais de confirmation. Par ailleurs, travailler en temps de crise, de stress dans un environnement rassurant tel que son domicile peut facile la concentration et l’efficacité.

Pour maintenir un lien avec les membres de sa cellule et faciliter le partage des informations, il faut instaurer un processus de communication interne qui permettra de mutualiser les ressources et de toujours rester en contact.

De plus créer une cellule de crise à distance représente un gain de temps considérable car on se retrouve souvent dans l’impossibilité de réunir tous les membres de sa cellule dans un même endroit. L’atout majeur d’une cellule de crise virtuelle reste bien sur la capacité à intervenir à tout instant et en tout lieu.

Quelle est l’importance des outils technologiques dans la gestion de crise virtuelle ?

Quand on parle de gestion de crise virtuelle, les enjeux d’appropriation et d’ergonomie des outils technologiques sont particulièrement importants. Il est nécessaire que chaque entreprise commence à utiliser ces outils dans le but de remplacer le travail d’intelligence collective.

Différents outils s’offrent à vous :

  • Le tableau blanc partagé : il remplace le paper board qu’on a l’habitude d’afficher au mur
  • Le mind mapping : particulièrement utile pour définir la cartographie des parties prenantes, les scenarios d’évolutions défavorables etc.
  • Slack : permet d’établir un retour d’expérience et de faire travailler la force de réflexion rapide
  • Go crisis :  est une application qui permet l’objectivation de l’ouverture de la cellule de crise. Une série de questions vous est posée et en fonction des réponses, l’IA vous recommande ou non de déclencher la cellule. Par la suite tous les membres de la cellule de crise seront alertés.
  • Holis : un outil de main courante électronique pour les cellules de crise et les centres opérationnels, idéal pour partager des informations, des prises de décisions, des documents etc..

Le mot clé pour une gestion de crise virtuelle réussie ? La mobilisation, ce concept à première vue banal et acquis va prendre une toute autre ampleur en ligne. Vous devrez vous mobilisez d’une nouvelle manière : il faut être disponible à tout instant, avec la possibilité de se connecter à un système d’information en permanence. Le but est que tous les membres de la cellule puissent disposer des mêmes informations peu importe leur localisation.

Si l’on veut redessiner sa gestion de crise virtuellement, il faut repenser le fonctionnement de sa cellule de crise. C’est un chemin sur du moyen-long terme qui doit progressivement devenir une norme pour les organisations.