Gérer les risques et la conformité

1. Le risque

Un risque peut se définir comme un danger éventuel plus ou moins prévisible. C’est donc un évènement qui n’a pas encore eu lieu. Le niveau de risque repose sur la probabilité et l’impact potentiel qu’il faut rapporter au sujet sur lequel porte le risque c’est-à-dire l’actif. C’est ainsi qu’on peut présenter la valeur d’un risque en tenant compte de l’équation suivante :

Risque = probabilité x impact potentiel x valeur de l’actif

Comme très souvent, il existe des normes auxquelles il est possible de faire référence. Pour la gestion des risques, il s’agit de l’ISO 31000. Il en existe d’autres mais l’ISO 31000 demeure la référence actuelle et se présente de la manière suivante :

« Le succès à long terme d’une organisation dépend de nombreuses choses, et notamment de l’évaluation et de la mise à jour en continu de son offre ainsi que de l’optimisation de ses processus. Mais cela ne suffit pas. Une organisation doit aussi se préparer à tous les imprévus en mettant en œuvre un management du risque. ISO 31000 a été élaborée dans ce but. »

La gestion des risques est d’ailleurs une obligation dans bien des industries. De plus, la gestion des risques peut devenir un avantage compétitif...

1. Des règlements à différents niveaux

Être en conformité avec les lois, les règlements, les normes et les directives applicables qui régissent son secteur d’activité peut s’avérer compliqué tant il en existe. Ces règlementations peuvent être établies au niveau national, international, sectoriel ou même régional. Le non-respect des règlementations peut entraîner des amendes, des sanctions, des litiges, une perte de réputation et même la fermeture de l’entreprise.

La conformité est généralement décrite comme le processus de respect des obligations découlant des lois d’application, des règlements, des normes industrielles et organisationnelles, des engagements contractuels, des engagements de l’organisation, des valeurs, des sanctions, de l’éthique et des politiques et procédures d’entreprise.

L’audit interne est responsable de la gestion globale des risques de l’organisation, tandis que la conformité supervise trois risques principaux : réputationnel, réglementaire et juridique. Les deux domaines doivent être objectifs, éthiques et indépendants, et ils doivent établir des alliances internes à leur avantage. L’audit interne...

1. Le RGPD en quelques mots

Par l’importance de ce règlement au quotidien, il mérite d’y regarder de plus près. Le règlement général sur la protection des données (RGPD) est un règlement de l’Union européenne qui a été adopté en 2016 et qui est entré en vigueur le 25 mai 2018. Il a pour objectif de renforcer et d’uniformiser la protection des données personnelles des individus dans l’Union européenne (UE).

Le RGPD s’applique à toute entreprise qui traite des données personnelles d’individus situés dans l’UE, quelle que soit leur nationalité ou leur lieu de résidence, et quel que soit le lieu où le traitement est effectué. Il s’applique également aux entreprises situées en dehors de l’UE qui offrent des biens ou des services aux individus situés dans l’UE ou qui surveillent leurs comportements.

Le RGPD impose de nombreuses obligations aux entreprises qui traitent des données personnelles, notamment en matière de collecte, d’utilisation, de conservation, de sécurité et de respect des droits des personnes concernées. Il prévoit également des sanctions pouvant aller jusqu’à 4 % du chiffre d’affaires mondial de l’organisation ayant fauté ou 20 millions d’euros (selon le montant le plus élevé) en cas de manquement grave aux obligations du RGPD.

2. Les grands concepts du RGPD

L’article 4 RGPD définit les termes et les concepts clés qui sont utilisés dans le texte de loi. Voici les définitions précises de ces termes :