Responsabilité Sociale des Entreprises, Responsabilité Sociétale et Environnementale, Responsabilité Sociétale des Entreprises… le sigle RSE recouvre des réalités bien complexes, et montre à lui seul la vélocité de l’environnement informationnel dans lequel évolue le Risk Manager. Ce dernier doit prendre en compte, à l’instar de la RSE, les questions de conformité réglementaire, engagements sociaux vis-à-vis des salariés, sécurité au travail, les problématiques environnementales, et même les questions éthiques. Si pendant longtemps ces deux entités (RSE et Risk Management) ont évolué sans nécessairement se croiser, la RSE est aujourd’hui dans la ligne de mire des Risk Managers comme le démontre la récente enquête de l’AMRAE dans son magazine Atout Risk Manager n°18. Cet article vise à expliquer comment la RSE souvent pointée par certains comme un outil de greenwashing, tend à s’imposer dans le spectre du risque dans le cadre du changement de paradigme de la fonction.
La RSE, de ses origines à son arrivée en France
La RSE n’est pas un phénomène nouveau : dès le 19ème siècle, de nombreux chefs d’entreprises paternalistes comme Henri Schneider ont investi le terrain social pour contenir les revendications de leurs ouvriers. Cette doctrine théorisée par Fréderic Le Play est fondée sur le fait que les rapports entre patrons et ouvriers doivent être régis par les règles de la vie familiale, caractérisées par l'affection réciproque, l'autorité et le respect. Certains de ces dirigeant assuraient, avant l’émergence de l’Etat providence, une prise en charge minimale des soins de santé ou l’éducation des enfants des ouvriers. Ce phénomène a pris encore plus de sens dans la société américaine. Contrairement à l’Europe où les Etats se sont emparés de ce rôle de « service public », comme les systèmes de mutualisation ou une assurance maladie, l’Etat fédéral ne s’est que très peu impliqué dans le champ des services généraux. Les méthodes de gestion au cœur de la RSE se sont donc constituées outre-Atlantique durant les années 30. La RSE est pratiquée et enseignée aux Etats-Unis depuis bien longtemps et se concrétise, pendant les années 70, par la signature de codes de conduite au profit des salariés.
Au niveau européen, la RSE est définie par la Commission comme « l’intégration volontaire par les entreprises de préoccupations sociales et environnementales à leurs activités commerciales et leurs relations avec leurs parties prenantes. Être socialement responsable signifie non seulement satisfaire pleinement aux obligations juridiques applicables, mais aussi aller au-delà et investir « davantage » dans le capital humain, l’environnement et les relations avec les parties prenantes ».
Elle fait finalement son apparition en France en le 15 mai 2001. Le gouvernement Jospin II fait voter la loi relative aux Nouvelles régulations économiques (NRE) pour imposer aux entreprises cotées en France et de droit français de publier un rapport de gestion des données sur « la manière dont elles prennent en compte les conséquences sociales et environnementales de leur activité ». Le décret de février 2002 précise la nature de ces dernières suivant une série d’indicateurs : sociaux et sociétaux d’une part, et environnementaux d’autre part. Cette loi a immédiatement suscité de vives critiques : les syndicats ont opposé au gouvernement de l’époque la faiblesse des indications quant à la méthodologie choisie tandis que les entreprises lui ont reproché de représenter un coût supplémentaire.
Pourtant, de nombreux Risk Manager ont eu des difficultés à considérer la RSE comme un risque à part entière. Ce constat est certainement dû au fait que dans notre pays la RSE et la gestion des risques se sont développées séparément dans les entreprises et sur le plan législatif.
Alors que la première relève de la loi NRE évoquée précédemment, la seconde se retrouve dans le document unique d’évaluation des risques professionnels (DU ou DUERP) de novembre 2001 et se concentre sur le « social » dans son acception française. Il répertorie l'ensemble des risques professionnels (y compris les risques psychosociaux) auxquels sont exposés les employés, afin d'organiser la prévention au sein du programme annuel de prévention de l’organisation. Le DUERP s’impose à l’employeur dès le premier salarié. La gestion des risques est ensuite renforcée en 2003 par la loi de sécurité financière qui impose aux présidents des conseils d’administration un reporting des procédures de contrôle interne mises en place par la société.
Pire encore les entreprises sont souvent accusées dans leurs démarches de RSE de réaliser des opérations de greenwashing, une pratique marketing consistant à communiquer auprès du public en utilisant l'argument écologique pour se donner une image éco-responsable éloignée de la réalité. Ce fut encore le cas récemment sur l’initiative « Alliance to end plastic waste » : cette alliance a été créé le 16 janvier dernier et réunie une trentaine de multinationales de la pétrochimie, du recyclage et des biens de grande consommation avec pour objectif de trouver des solutions d’élimination des déchets plastiques. Elle regroupe de grands noms comme Veolia, Suez, Dow Chemical, ExxonMobil, Shell ou encore Total. Mais d’après l’ONG Recycling Netwerk, la plupart des sociétés fondatrices de cette alliance font partie des plus gros investisseurs mondiaux de nouvelles usines de production de plastique. L’association a listé une quarantaine de projets, futurs ou en cours, allant en ce sens et les accuse donc de greenwashing.
Malgré ces objections, de nombreuses avancées ont été faite depuis l’apparition de la norme ISO 26000, dont dépend la RSE d’une part et d’autre part de la loi Sapin II qui intensifie les contraintes pour les entreprises. Ces dispositions poussent les Risk Managers à effectuer un changement de paradigme, pour la prendre en charge dans leurs process.
La place de la RSE dans le Risk Mangement, un changement de paradigme
Ce changement de paradigme ne s’est pas manifesté immédiatement dans l’organisation des entreprises. En effet, Dans son rapport de 2016 sur le gouvernement d’entreprise et la rémunération des dirigeants, l’Autorité des Marchés Financiers (AMF) a estimé que les reporting donnait une description des procédures et des risques qui concernent l’élaboration et le traitement de l’information financière et comptable mais pas assez d’information sur les risques « opérationnels ». Ils se centrait sur l’analyse des limites de leurs dispositifs de contrôle internes, sans se pencher sur les risques non couverts. De surcroit, la RSE n’est pas régie par le DUERP aucun risque explicitement lié à elle n’était évoqué.
De fait, même si la RSE était de plus en plus prise en compte (le rapport de l’AMF sur la RSE de 2016 montrait un accroissement des moyens consacrés à la RSE dans les entreprises cotées en termes de temps de ressources et d’outil de suivi), dans les entreprises, elle n’était encore pas nécessairement associée à la gestion des risques. Mais la loi Sapin II adoptée en novembre 2016 a contribué à relecture de la RSE et de la norme qui la régit. La loi sur la transparence, la lutte contre la corruption et la modernisation de la vie économique, dite « Sapin II », a pour ambition de porter la législation française aux meilleurs standards européens et internationaux en matière de lutte contre la corruption, et contribuer ainsi à une image positive de la France à l’international. Elle a instauré des mesures contraignantes comme l’obligation d’un programme de prévention de la corruption, la création d’une convention judiciaire d'intérêt public ou encore l’extraterritorialité de la loi française. Or la norme ISO 26000 qui régit les questions de RSE s’intéresse à « la responsabilité d’une organisation vis-à-vis des impacts de ses décisions et activités sur la société et sur l’environnement, se traduisant par un comportement éthique et transparent qui :
- Contribue au développement durable, y compris à la santé et au bien-être de la société ;
- Prend en compte les attentes des parties prenantes ;
- Respecte les lois en vigueur et qui est en accord avec les normes internationales de comportement ;
- Et qui est intégré dans l’ensemble de l’organisation et mis en œuvre dans ses relations ».
Elle recouvre un scope très large qui permet de prendre en compte des risques inhérents à l’ensemble des parties prenantes, dont celles qui peuvent être mise en cause dans le cadre de Sapin II. L’ISO 26000 se déploie sur trois domaines qui représentent autant de risques potentiels pour les entreprises : le social, l’économique et l’environnemental.
Dès lors, analyser le risque RSE revient à évaluer l’entreprise à travers le prisme de ses parties prenantes qui peuvent peser de manière importante sur sa réputation. Par exemple, une des agences de notation extra-financière les plus importantes, VIGEO, peut peser sur le risque RSE puisque qu’elle définit sa mission comme l’évaluation du « degré avec lequel les entreprises prennent en compte les objectifs environnementaux, sociaux, sociétaux et de gouvernance d’entreprise. [Elle explique que] ces objectifs constituent des facteurs de risque pour les organisations tant dans la définition que dans la mise en œuvre de leurs stratégies et politiques. [Ainsi, son] analyse permet : d’évaluer le niveau d’engagement démontré par les organisations envers l’ensemble des objectifs de RSE ou de développement durable, d’identifier la totalité des risques encourus par l’entreprise ou les organisations dans ce domaine… ». Dans le même ordre, si la politique RSE d’une entreprise est jugée peut efficiente par une grande ONG ou si elle est dénoncée dans une enquête par un important média, elle peut peser négativement sur l’image de marque de l’entreprise.
Les Risk Managers s’accordent à dire que la RSE est intrinsèquement lié à la gestion des parties prenantes et qu’elle touche des secteurs aussi diversifiés que la mode, le secteur pétrolier, ou encore la santé. Le risque lié à la RSE est même entré dans le top 10 du Business Risk Report du cabinet d’audit Ernst and Young en 2010 : « Social acceptance and corporate social responsibility (CSR) have become increasingly important over the last decade and it is not a surprise to find this risk entering the top 10 this year. In the current business climate, where there are continuing reputational threats and a rising political backlash, firms will need to tread carefully to maintain (or rebuild) the trust of the public ».
Pour finir, il suffit de constater le coût des sanctions liées à la RSE pour définitivement comprendre les fondements de ce changement de paradigme. En effet, dans son rapport de 2015, VIGEO constate, après avoir analysé 2500 entreprises cotées dans le monde, qu’une sur cinq avait fait l’objet d’une sanction en rapport avec au moins un facteur de responsabilité sociale. Certaines ayant même dû subir plusieurs procédures sur différents thèmes mettant en cause leur RSE. Ces poursuites ont représenté 95,5 milliards d’euros. Le sujet est donc aujourd’hui un enjeu important pour les politiques de gestion des risques et de nombreuses entreprises s’en sont saisi comme Veolia, Carrefour ou Total ou le groupe Ben & Jerry’s qui fait figure de pionnière dans le domaine.
Prenons l’exemple de Total, le groupe pétrolier, souvent montrée du doigt sur des questions relevant de la RSE. Pourtant il a non seulement mis en place l’une des politiques RSE les plus ambitieuses, mais il a surtout innové en créant à l’intérieur de sa Direction Conformité et Responsabilité Sociétale une l’équipe Conformité Éthique et Droits de l’Homme. Cette dernière est allée plus loin qu’une simple remise en cause de modèle de catégorisation des parties prenantes. Elle s’est attelée à changer la conception de l’éthique et de l’acceptabilité sociétale sur laquelle il repose. L’éthique chez Total se fonde sur un ensemble de normes et de procédures qui visent à encadrer les activités du Groupe, en vue de limiter au maximum les risques et les impacts. L’importance de cette question dans le groupe se fait sentir aussi sur le nombre de collaborateurs alloués à cette tâche : en 2014, 370 Compliance officers et 109 ethics officers fonctionnaient en réseau pour déployer les politiques Éthique & Conformité de Total.
Plus généralement, le rapport de l’AMF de 2016 montre une évolution nette, tout du moins dans les entreprises en cotées, par rapport à l’étude Alpha de 2003 : en 2016, 60 % des sociétés établissent une table de concordance afin que le lecteur puisse retrouver plus aisément les thèmes du décret et/ou du ou des référentiels suivis (en particulier de la Global Reporting Initiative (GRI)), ce qui rend l’information plus transparente. 58 % d’entre elles (soit une hausse de 50% en comparaison avec le rapport de 2013) utilisent d’autres supports sur leur site internet pour communiquer en matière de RSE : rapport ad hoc, rapport dédié aux analystes ou aux gérants. Contrairement à 2013, aucune société n’indique expressément avoir éprouvé des difficultés à aligner son calendrier de reporting extra-financier sur celui de son reporting financier. De plus, le nombre de pages des rapports RSE figurant dans les documents de référence s’établit en moyenne à 33 pages (contre 24 pages en 2013). Enfin, la rubrique consacrée exclusivement à la RSE représente 12 % en moyenne (14% dans les grands groupes qui lui consacraient en 2013 9% du volume de leurs publications) du volume total de l’information développée dans les documents de référence des sociétés de l’échantillon.
Club Risques de l'AEGE