Les obligations en matière d’environnement, de travail et de sécurité ne constituent pas, dans le cadre de la responsabilité contemporaine des entreprises, des domaines techniques de conformité séparés, mais des critères normatifs permettant d’apprécier si une entreprise identifie réellement les risques matériels, les traite au niveau de sa direction et les maîtrise sur le plan opérationnel. Dans les secteurs impliquant des substances dangereuses, des processus industriels, des chaînes logistiques, des infrastructures physiques, des installations de production, des activités de construction, l’approvisionnement énergétique ou des opérations ayant une incidence environnementale significative, le respect de ces obligations touche directement à la légitimité de l’entreprise. L’enjeu central ne réside pas seulement dans le respect des conditions d’autorisation, des règles relatives à la santé et à la sécurité au travail, des protocoles de sécurité ou des obligations de déclaration, mais dans la mesure où la direction dispose d’une visibilité réelle sur les risques susceptibles d’affecter les personnes, les salariés, les riverains, les écosystèmes, les infrastructures publiques et la continuité de l’activité. Une organisation qui réduit ces obligations à une responsabilité spécialisée des départements HSE, opérations ou services généraux méconnaît le fait que les risques physiques soulèvent souvent les mêmes questions de gouvernance que les risques de criminalité financière : quels signaux parviennent à la direction, quels intérêts sont prioritaires, quels écarts sont documentés, quelles considérations de coûts sont acceptées, quelles escalades sont ignorées et quels risques sont normalisés sous la pression commerciale.
Dans le cadre de la Gouvernance Stratégique de l’Intégrité, l’environnement, le travail, la sécurité et le BRZO doivent donc être compris comme des domaines d’intégrité qui révèlent la fiabilité de la prise de décision. La protection de la sécurité humaine et de l’environnement physique n’est pas une simple condition légale préalable, mais une expression directe de la responsabilité de l’entreprise. Une entreprise qui dispose, sur le papier, de politiques, de procédures, d’autorisations, d’audits et de formations, mais qui, en pratique, n’investit pas suffisamment dans la maintenance, la supervision, la culture d’alerte, l’expertise, l’analyse des incidents ou le suivi au niveau de la direction, crée une vulnérabilité susceptible de se transformer rapidement, en cas d’incident, en mesure d’exécution, exposition pénale, responsabilité civile, intervention administrative, atteinte à la réputation et perte de licence sociale et juridique d’exploitation. La Gestion Intégrée des Risques de Criminalité Financière offre à cet égard un cadre utile, car elle impose une approche intégrée de l’identification des risques, de la gouvernance, de la documentation, de l’escalade, du suivi, des tests, de l’assurance et de la responsabilité au niveau de la direction. La même logique qui exige que le blanchiment de capitaux, la corruption, la fraude, les risques de sanctions, la fraude fiscale, les abus de marché, la collusion et le droit de la concurrence, ainsi que la cybercriminalité et les fuites de données soient appréciés dans leur interdépendance exige également que les domaines de la sécurité physique et de l’environnement ne soient pas traités isolément. En définitive, l’entreprise sera jugée sur la question de savoir si les risques matériels ont effectivement été vus, compris, hiérarchisés et maîtrisés de manière démontrable.
Les obligations environnementales, sociales et de sécurité comme enjeux d’intégrité
Les obligations environnementales, sociales et de sécurité ont une portée normative qui dépasse la conformité technique. Elles donnent un contenu concret au degré de diligence qui peut être attendu d’une entreprise lorsque ses activités créent des risques pour les salariés, les tiers, les riverains, les ressources naturelles et les intérêts publics. Dans la pratique, ces obligations sont souvent abordées au moyen de cadres distincts : autorisations environnementales, législation relative à la santé et à la sécurité au travail, systèmes de gestion de la sécurité, enregistrement des incidents, gestion des substances dangereuses, sécurité incendie, sécurité contre les explosions, régimes de maintenance et relations avec les autorités de contrôle. Cette catégorisation présente une valeur pratique, mais elle masque parfois la question sous-jacente qui se pose dans chaque cas : l’entreprise assume-t-elle la responsabilité des risques qu’elle crée, facilite ou accroît ? Lorsque cette question est placée au centre de l’analyse, les obligations environnementales, sociales et de sécurité cessent d’être de simples domaines spécialisés de conformité pour devenir des enjeux d’intégrité. L’existence de procédures n’est pas décisive ; ce qui importe est la crédibilité des choix effectués au niveau de la direction derrière ces procédures.
Cette dimension d’intégrité apparaît avec une acuité particulière lorsque les normes légales entrent en tension avec la pression commerciale, les objectifs de production, les contraintes de coûts ou les délais. Des mesures de sécurité peuvent être reportées parce que la capacité de production reçoit la priorité. La maintenance peut être différée parce qu’un arrêt d’exploitation est jugé financièrement indésirable. Les risques environnementaux peuvent être minimisés parce que les mesures de réduction des émissions nécessitent des investissements. Les risques liés au travail peuvent être acceptés parce que les travailleurs temporaires, les sous-traitants ou les travailleurs étrangers sont moins solidement positionnés pour signaler leurs préoccupations. De telles situations ne constituent pas de simples écarts opérationnels, mais des indicateurs du degré d’ancrage du sens normatif au niveau de la direction. Une entreprise qui fait dépendre la protection des personnes et de l’environnement d’une vigilance occasionnelle sur le terrain, plutôt que d’une gouvernance démontrable, crée un profil de risque susceptible de devenir difficilement défendable sous la pression du contrôle, d’une enquête d’incident ou d’une appréciation pénale.
La Gestion Intégrée des Risques de Criminalité Financière montre pourquoi ces domaines physiques doivent être placés dans la même logique de direction que la Maîtrise de la Criminalité Financière. Dans les deux cas, il s’agit de risques susceptibles de se dissimuler dans les processus quotidiens, les responsabilités dispersées, l’information incomplète, la documentation déficiente et une culture dans laquelle les avertissements ne reçoivent pas le poids nécessaire. La qualification juridique diffère, mais le problème de gouvernance présente de fortes similitudes. Dans les affaires de blanchiment de capitaux ou de corruption, l’attention porte souvent sur des transactions, des relations, des intermédiaires et une prise de décision qui n’ont pas été interrogés de manière critique à temps. Dans les incidents environnementaux, sociaux ou de sécurité, l’attention porte souvent sur des signaux techniques, des retards de maintenance, des signalements, des quasi-accidents, des écarts, des constats d’inspection ou des alertes internes qui n’ont pas bénéficié d’un suivi suffisant au niveau de la direction. La Gouvernance Stratégique de l’Intégrité exige donc que ces domaines soient reliés dans un modèle de gouvernance unique et cohérent, dans lequel les risques ne sont pas fragmentés, mais appréciés au regard de leur matérialité, de leur maîtrisabilité, de la position de responsabilité et du dommage sociétal potentiel.
La portée, au niveau de la direction, des responsabilités BRZO et de sécurité
Les responsabilités BRZO et de sécurité comportent une gravité particulière au niveau de la direction parce qu’elles concernent des activités dans lesquelles les incidents peuvent avoir des conséquences majeures pour les personnes, l’environnement, la continuité et l’ordre public. La présence de substances dangereuses, de processus industriels complexes, d’installations de stockage, de mouvements de transport ou d’équipements présentant un potentiel de risque élevé signifie que la sécurité ne peut être réduite à la discipline sur le terrain ou au contrôle technique des processus. La direction porte la responsabilité des conditions dans lesquelles la sécurité fonctionne : ressources suffisantes, expertise, maintenance, formation, suivi des incidents, pouvoirs clairement définis, reporting fiable et culture dans laquelle l’escalade est encouragée plutôt que découragée. Les obligations BRZO rendent cette responsabilité concrète en obligeant les entreprises à réfléchir de manière structurelle à la prévention, à la maîtrise, à la préparation, à la réponse d’urgence et au caractère démontrable de la gestion de la sécurité.
La portée des obligations BRZO au niveau de la direction réside avant tout dans l’obligation de s’éloigner d’une conception purement réactive de la sécurité. Une organisation ne peut se limiter à remédier aux lacunes après qu’une inspection, un incident ou un quasi-accident en a donné l’occasion. Dans les activités impliquant des risques graves pour la sécurité, la direction doit s’assurer que l’information relative aux risques est fiable, actuelle et suffisamment précise. Cela exige davantage que des rapports périodiques assortis d’indicateurs verts, des tableaux de bord standardisés ou des déclarations générales d’assurance. La responsabilité de la direction suppose une compréhension de la qualité des mesures de contrôle sous-jacentes, de la réalité de leur mise en œuvre opérationnelle, des limites des données d’incident, de la signification des écarts et de la mesure dans laquelle les salariés ou les sous-traitants peuvent faire remonter en sécurité leurs préoccupations relatives à la sécurité. Lorsque l’information destinée à la direction devient trop abstraite, le danger apparaît que l’organisation produise une image rassurante qui ne reflète pas l’exposition réelle.
Dans les termes de la Gestion Intégrée des Risques de Criminalité Financière, le BRZO peut être considéré comme un domaine dans lequel la maîtrise démontrable, la prise de décision documentée et l’escalade efficace occupent une place centrale. La question n’est pas seulement de savoir si l’entreprise respecte des obligations formelles, mais si elle peut expliquer pourquoi les mesures prises étaient appropriées au regard de son profil de risque. Cela suppose une position documentaire qui dépasse les formulaires, les audits et les documents de politique interne. L’entreprise doit pouvoir démontrer que les analyses de risques ont été comprises, que les scénarios ont été sérieusement discutés, que les écarts ont fait l’objet d’un suivi, que les choix budgétaires n’ont pas compromis une sécurité essentielle et que les organes sociaux disposaient d’informations suffisantes pour exercer leurs responsabilités. Dans un contexte d’exécution administrative ou pénale, la différence entre un incident regrettable et une négligence fautive peut résider en partie dans cette implication démontrable de la direction.
La relation entre sécurité opérationnelle et responsabilité de l’entreprise
La sécurité opérationnelle constitue un test direct de la responsabilité de l’entreprise, car elle révèle si l’entreprise respecte ses responsabilités publiques et humaines lorsqu’elle est sous pression. Dans de nombreuses organisations, il existe une séparation formelle entre stratégie et opérations, la direction se concentrant sur les marchés, les investissements, la croissance, le financement et la réputation, tandis que la sécurité est positionnée comme une question d’exécution. Dans les secteurs à haut risque, cette séparation est insuffisante. La sécurité opérationnelle est déterminée par des choix relatifs au budget, au personnel, à la maintenance, à la planification, à l’externalisation, à la numérisation, à la formation, à la pression de production et à la manière dont les responsables traitent les informations contradictoires. La sécurité est donc inévitablement liée au cœur de la gouvernance d’entreprise. Un incident sur le terrain peut trouver son origine dans une décision de direction prise des mois ou des années auparavant.
La responsabilité de l’entreprise exige que cette chaîne soit rendue visible. Après un incident grave, la question se limite rarement à la cause technique immédiate. Les enquêteurs, les autorités de contrôle, le ministère public, les victimes, les médias et les parties prenantes sociétales voudront savoir quels signaux étaient disponibles auparavant, quels avertissements ont été signalés, quelles décisions de maintenance ont été prises, quelles alternatives ont été envisagées, quels risques étaient connus, quelles réductions de coûts ont été mises en œuvre et qui portait la responsabilité du suivi. L’attention se déplace ainsi de l’incident vers le système. L’entreprise est appréciée non seulement au regard de l’erreur qui s’est matérialisée, mais au regard de l’ensemble de la gouvernance, de la culture, du reporting, de la prise de décision et de l’environnement de contrôle qui a rendu cette erreur possible ou n’a pas permis de l’éviter. Une organisation qui n’est pas elle-même en mesure de reconstruire de tels liens perd rapidement la maîtrise de sa position de défense.
La Gouvernance Stratégique de l’Intégrité place donc la sécurité opérationnelle dans une structure plus large de responsabilité. La Gestion Intégrée des Risques de Criminalité Financière applique le même principe fondamental : les risques matériels ne doivent pas être laissés à des fonctions séparées lorsqu’ils peuvent affecter de manière significative la direction, l’entreprise et les parties prenantes externes. La Maîtrise de la Criminalité Financière exige une ligne connectée entre politique, acceptation des clients, surveillance des transactions, escalade, analyse juridique, audit et direction. La sécurité opérationnelle exige une ligne comparable entre évaluation des risques, mesures techniques de contrôle, pratique du terrain, maintenance, gestion des sous-traitants, reporting des incidents, HSE, analyse juridique, audit interne et prise de décision au niveau de la direction. Dans les deux cas, la responsabilité de l’entreprise ne prend forme que lorsque la direction peut démontrer que les risques n’ont pas simplement été délégués, mais qu’ils ont effectivement été compris, suivis et maîtrisés.
ESG, devoirs de vigilance et exécution dans l’environnement physique
L’ESG a conféré aux obligations environnementales, sociales et de sécurité une portée stratégique et juridique plus large. Là où ces obligations étaient auparavant principalement considérées comme des exigences sectorielles de conformité, elles sont désormais de plus en plus reliées aux devoirs de vigilance, à la responsabilité dans la chaîne de valeur, à la transparence, à la responsabilité des dirigeants, aux conditions de financement, aux attentes des investisseurs et à la légitimité sociétale. L’environnement physique occupe une place centrale dans cette évolution. Les émissions, la contamination des sols, l’impact sur l’eau, les substances dangereuses, le bruit, la sécurité externe, les flux de déchets, la consommation d’énergie et l’impact sur la biodiversité ne sont plus des sujets évalués uniquement dans le cadre des autorisations et des rapports techniques. Ils font partie d’une appréciation plus large de la question de savoir si l’entreprise assume sa position sociétale de manière responsable.
L’exécution et le contrôle dans l’environnement physique renforcent cette évolution. Les autorités de contrôle n’examinent pas seulement des infractions isolées, mais également des schémas de conformité, de contrôle interne, de comportement déclaratif, de volonté de remédiation, de transparence et de qualité de l’implication de la direction. Un incident qui semble initialement concerner une condition d’autorisation ou un écart opérationnel peut rapidement s’élargir en une appréciation plus globale de la culture, de la gouvernance et de la gestion des risques. La documentation joue à cet égard un rôle déterminant. Sont pertinents non seulement la situation factuelle sur le site, mais également la correspondance interne, les notes de décision, les analyses de risques, les constats d’audit, les signalements, les décisions budgétaires et les rapports destinés à la direction qui montrent comment l’entreprise a traité les risques connus. En ce sens, l’ESG devient non seulement un enjeu de réputation ou de reporting, mais une question de preuve et de responsabilité.
Dans le cadre de la Gestion Intégrée des Risques de Criminalité Financière, cette évolution revêt une importance particulière, parce que les risques ESG, l’environnement physique et le risque de corporate crime se recoupent de plus en plus. Les atteintes à l’environnement peuvent coïncider avec la falsification de rapports, des allégations trompeuses en matière de durabilité, des risques de corruption dans les procédures d’autorisation, de la fraude dans les flux de déchets, des structures à incidence fiscale, des risques de sanctions dans les chaînes d’approvisionnement ou des problèmes de données dans le suivi. La sécurité au travail peut être liée à l’exploitation, à des montages fictifs, à un contrôle insuffisant de la chaîne de valeur ou à la pression exercée sur les sous-traitants. La Gouvernance Stratégique de l’Intégrité doit donc empêcher que l’ESG soit réduit à la communication, au reporting ou à une ambition politique. Le véritable test réside dans la question de savoir si les risques physiques, les devoirs de vigilance et les activités sensibles à l’exécution sont intégrés dans la manière dont l’entreprise évalue, hiérarchise, documente et justifie les risques au niveau de la direction.
Incidents, négligence et exposition pénale en cas de déficiences de sécurité
Les incidents liés à l’environnement, au travail et à la sécurité peuvent exposer une entreprise à des risques pénaux, administratifs et civils dans un délai très court. Une explosion, un incendie, une fuite, un dépassement d’émissions, un accident du travail, une exposition à des substances dangereuses, un effondrement, un incident de machine ou un quasi-accident grave soulève immédiatement la question de savoir s’il s’agissait d’un concours malheureux de circonstances ou de défaillances fautives dans l’organisation, la supervision, la maintenance, l’instruction, l’évaluation des risques ou la prise de décision. L’exposition pénale apparaît en particulier lorsqu’il existe des indications selon lesquelles les risques étaient connus ou auraient dû l’être, mais n’ont pas fait l’objet d’un suivi adéquat. L’appréciation ne porte alors pas seulement sur l’auteur direct, mais sur le contexte organisationnel plus large dans lequel l’incident a pu se produire.
La négligence prend souvent forme, dans ce contexte, à travers des schémas récurrents. Un défaut isolé ou une erreur individuelle n’indique pas nécessairement une responsabilité organisationnelle fautive. La situation change lorsque des signaux internes ont été structurellement ignorés, que la maintenance a été reportée à plusieurs reprises, que la pression du travail a supplanté les procédures de sécurité, que les sous-traitants ont été insuffisamment gérés, que la formation était déficiente, que les signalements ont été clôturés sans analyse ou que le reporting de gestion a atténué la portée des risques. Dans de tels cas, l’attention juridique peut se déplacer de l’incident vers la culpabilité. L’entreprise doit alors être en mesure d’expliquer pourquoi certains choix ont été effectués, quelles informations étaient disponibles, quelles alternatives ont été envisagées et pourquoi les mesures prises pouvaient raisonnablement être considérées comme suffisantes. Sans documentation cohérente et prise de décision crédible, cette explication peut devenir vulnérable.
Le lien avec la Maîtrise de la Criminalité Financière est plus fort qu’il n’y paraît à première vue. La Gestion Intégrée des Risques de Criminalité Financière souligne que les organisations ne doivent pas seulement respecter les règles formelles, mais doivent également pouvoir démontrer que les risques matériels sont efficacement maîtrisés. Cette logique probatoire s’applique de la même manière aux déficiences de sécurité. Lorsqu’une organisation ne peut pas montrer, après un incident, comment les risques ont été identifiés, comment les signaux ont été escaladés, comment les responsabilités ont été attribuées, comment les contrôles ont été testés et comment le suivi a été assuré, une faiblesse sérieuse de défense apparaît. La Gouvernance Stratégique de l’Intégrité exige donc que la gestion des incidents, le secret professionnel et la confidentialité juridique, les enquêtes internes, l’analyse des causes profondes, les obligations de déclaration, la communication avec les autorités de contrôle, les mesures de remédiation et la prise de décision au niveau de la direction soient alignés dès le départ. Non pas pour éluder la responsabilité, mais pour éviter que l’incertitude factuelle, la documentation déficiente ou une communication fragmentée n’affaiblissent davantage la position juridique et sociétale.
Les conditions de travail et la sécurité humaine comme enjeu de direction
Les conditions de travail et la sécurité humaine figurent parmi les expressions les plus directes de la responsabilité de l’entreprise, car elles concernent la sécurité physique et psychologique quotidienne des personnes qui portent concrètement le modèle économique. Une organisation peut disposer de positions de marché solides, d’un reporting financier robuste, de modèles de risque avancés et de programmes de conformité étendus, mais lorsque des salariés, intérimaires, sous-traitants, chauffeurs, techniciens, agents de nettoyage, personnels de sécurité ou autres personnes concernées travaillent dans des conditions structurellement dangereuses, il existe une rupture fondamentale entre la gouvernance formelle et la responsabilité réelle. La sécurité au travail n’est donc pas une question périphérique relevant des seules ressources humaines ou des opérations, mais un enjeu de direction qui révèle les priorités, les rapports de pouvoir, la culture, les structures d’incitation, la pression de la charge de travail, la gestion des sous-traitants, la sécurité du signalement et la disposition à limiter les intérêts de production ou de coûts lorsque la sécurité humaine l’exige.
La dimension de direction des conditions de travail devient particulièrement visible dans les situations où les risques ne naissent pas d’un incident unique clairement identifiable, mais de l’effet cumulé de choix quotidiens. Les heures supplémentaires, le sous-effectif, la formation insuffisante, les instructions imprécises, les équipements de protection inadéquats, les barrières linguistiques, la supervision faible, les machines dangereuses, les objectifs de production excessifs, les raccourcis informels et la pression exercée pour poursuivre le travail malgré des avertissements peuvent, ensemble, créer un environnement dans lequel un accident grave n’est pas inattendu, mais effectivement prévisible. Dans de telles circonstances, il ne suffit pas, après un incident, d’invoquer l’inattention individuelle ou l’écart par rapport aux instructions. La question essentielle est de savoir si l’entreprise a créé un système dans lequel le travail en sécurité est réaliste, opposable et protégé au niveau de la direction. Une procédure qui exige la conformité en théorie, mais qui, en pratique, ne peut être suivie qu’au détriment des objectifs, de la planification ou de la position commerciale, a une valeur limitée en tant que mesure de contrôle défendable.
Dans le cadre de la Gouvernance Stratégique de l’Intégrité, les conditions de travail et la sécurité humaine doivent donc être reliées aux mêmes exigences de démontrabilité, d’escalade et de responsabilité de direction que celles qui s’appliquent dans la Gestion Intégrée des Risques de Criminalité Financière. Les risques de criminalité financière ne sont pas efficacement maîtrisés par la seule politique interne, mais par un système cohérent de détection, de prise de décision, de suivi, de testing, de documentation, de formation, d’ownership et de challenge indépendant. Il en va de même pour la sécurité au travail. L’entreprise doit pouvoir démontrer que les risques pour les personnes n’ont pas seulement été identifiés, mais qu’ils ont également été traduits en mesures réalistes, responsabilités claires, reporting fiable, tests périodiques et suivi visible au niveau de la direction. Lorsque la sécurité humaine demeure structurellement dépendante de l’improvisation locale, du courage personnel ou du hasard qu’une personne signale un risque, la robustesse attendue d’une entreprise responsable fait défaut.
L’intégration des risques environnementaux et de sécurité dans la maîtrise du corporate crime
L’intégration des risques environnementaux et de sécurité dans la maîtrise du corporate crime exige que les risques physiques ne soient plus considérés comme séparés des enjeux juridiques, financiers, fiscaux, de conformité et de gouvernance. Dans de nombreuses entreprises, il existe des lignes de reporting distinctes pour les fonctions HSE, juridique, conformité, risque, finance, opérations et audit interne. Cette répartition fonctionnelle peut être efficace, mais elle crée également le risque que les liens entre les signaux ne soient pas reconnus. Un incident environnemental peut, par exemple, être lié à des réductions de coûts, à une due diligence insuffisante des sous-traitants, à des décisions d’investissement inadéquates, à une pression issue de contrats commerciaux, à des données incomplètes, à des informations d’assurance déficientes, à une communication problématique en matière d’autorisations ou à un reporting externe inexact. Lorsque chaque fonction n’évalue que son propre segment, l’image d’intégrité demeure fragmentée. Le risque de corporate crime naît souvent de cette fragmentation : non pas parce que personne ne sait rien, mais parce que personne ne voit l’ensemble avec une netteté suffisante.
La Gestion Intégrée des Risques de Criminalité Financière fournit un cadre pertinent pour surmonter cette fragmentation. Son principe central est que les risques matériels doivent être compris à l’échelle de l’organisation et que les qualifications juridiques ne doivent pas déterminer à elles seules si l’attention de la direction est requise. Le blanchiment de capitaux, le contournement de sanctions, la corruption, la fraude, la fraude fiscale, les abus de marché, la collusion et le droit de la concurrence, ainsi que la cybercriminalité et les fuites de données, possèdent chacun leur propre cadre normatif, mais peuvent, en pratique, être profondément interconnectés. Il en va de même pour les risques environnementaux et de sécurité. Une gestion défaillante des déchets peut constituer un risque de droit de l’environnement, mais elle peut également toucher à la fraude, à la falsification de documents, à la corruption dans la chaîne, à une communication ESG trompeuse, à des inexactitudes fiscales ou à des flux commerciaux sensibles aux sanctions. Une déficience de sécurité peut relever de la santé et de la sécurité au travail, mais elle peut aussi révéler une gouvernance faible, une sous-déclaration, une information de gestion trompeuse ou une prise de décision négligente. L’intégration ne signifie donc pas que tous les risques soient placés sous une seule étiquette, mais que les liens entre les domaines soient examinés systématiquement.
Pour la Gouvernance Stratégique de l’Intégrité, cela signifie que les risques environnementaux et de sécurité doivent être intégrés dans le même rythme de direction que les autres risques matériels d’intégrité. Cela comprend l’évaluation périodique des risques, un ownership clair des risques, l’alignement entre l’exécution locale et la gouvernance centrale, des critères d’escalade cohérents, l’évaluation juridique des incidents, le testing des contrôles, l’assurance indépendante, une information de gestion fiable et la documentation explicite des décisions. Une attention particulière doit également être portée à la manière dont les risques physiques peuvent évoluer vers une exposition au corporate crime. Un dépassement d’émissions, un accident ou une déficience de sécurité peut d’abord être traité comme un incident opérationnel, mais prend une autre signification lorsque des avertissements ont été ignorés, des rapports ont été modifiés, des notifications externes ont été retardées, les autorités de contrôle ont été informées de manière incomplète ou des mesures de remédiation ont été délibérément reportées. Une entreprise qui intègre à l’avance de tels scénarios dans sa gouvernance se trouve dans une position plus solide qu’une organisation qui ne découvre qu’après une crise que ses domaines de risque étaient insuffisamment reliés.
Contrôle, inspections et légitimité publique en cas d’incidents
Le contrôle et les inspections dans les domaines de l’environnement, du travail et de la sécurité ne sont pas de simples points de contact formels avec les autorités, mais des moments publics de mise à l’épreuve de la crédibilité de l’entreprise. Lorsque les autorités de contrôle visitent un site, demandent des documents, enquêtent sur des incidents ou imposent des mesures de remédiation, il devient visible si l’organisation comprend ses obligations, si l’information est disponible et fiable, et si les personnes responsables sont en mesure d’expliquer de manière cohérente comment les risques sont maîtrisés. Une entreprise qui considère sa relation avec les autorités de contrôle comme une charge administrative incidente méconnaît la portée stratégique du contrôle. Les inspections ne révèlent pas seulement des violations, mais aussi la qualité de la préparation interne, de la documentation, de la gouvernance et de la culture.
En cas d’incident, cette portée est amplifiée par l’attention publique. Un accident du travail, un incendie, une fuite, une émission, une explosion ou une alerte grave de sécurité n’affecte pas seulement la relation entre l’entreprise et l’autorité de contrôle. Les riverains, les salariés, les syndicats, les médias, les clients, les assureurs, les financeurs, les actionnaires et les organisations de la société civile peuvent tous soulever des questions concernant la responsabilité, la transparence et la remédiation. La légitimité publique dépend alors non seulement de la justesse juridique, mais aussi de la rapidité, du soin, de la cohérence et de la crédibilité de la réponse. Une posture défensive, une communication fragmentée, une déclaration tardive, une information incomplète ou l’absence de remédiation visible peuvent encore davantage porter atteinte à la confiance, même lorsque la position juridique n’a pas encore été définitivement établie. À l’inverse, une entreprise qui agit de manière factuelle, soigneuse et démontrable peut renforcer sa position en montrant que la sécurité et la responsabilité ne sont pas subordonnées à la gestion de la réputation.
Dans le cadre de la Gestion Intégrée des Risques de Criminalité Financière, l’interaction avec les autorités de contrôle constitue une composante centrale de la position de responsabilité. Cette approche est tout aussi pertinente pour les incidents environnementaux, sociaux et de sécurité. La Gouvernance Stratégique de l’Intégrité exige que les relations avec les autorités de contrôle ne soient pas improvisées au moment où la pression apparaît. Il doit être clair à l’avance qui est habilité à communiquer avec les inspecteurs, quelles informations sont fournies, comment l’évaluation juridique a lieu, comment le privilège juridique et l’enquête sont préservés, comment les faits sont établis, comment les obligations de déclaration sont appréciées et comment les mesures de remédiation sont documentées. La Maîtrise de la Criminalité Financière enseigne que l’incohérence dans la communication avec les autorités de contrôle peut avoir des conséquences importantes pour la crédibilité et le risque d’enforcement. Il en va de même dans les domaines de la sécurité physique. L’entreprise doit pouvoir démontrer non seulement, sur le fond, qu’elle maîtrise les risques, mais aussi, sur le plan procédural, qu’elle agit de manière ordonnée, transparente, juridiquement prudente et socialement responsable sous la pression du contrôle.
La sécurité et l’environnement comme composantes de la licence d’exploitation
La sécurité et l’environnement font de plus en plus partie de la licence d’exploitation des entreprises. Cette licence d’exploitation n’est pas seulement une autorisation formelle, mais une acceptation plus large, sociale, juridique, fondée sur la gouvernance et commerciale, de la présence et des activités de l’entreprise. Une organisation peut disposer des autorisations et contrats requis et néanmoins perdre sa légitimité lorsque les riverains, les salariés, les autorités de contrôle, les clients ou les financeurs perdent confiance dans le fait que les risques sont maîtrisés de manière responsable. Dans les secteurs ayant un impact physique visible, cette confiance peut être particulièrement fragile. Les nuisances sonores, les émissions, les incidents, les mouvements de transport, les substances dangereuses, les accidents du travail ou les constats d’inspection répétés peuvent progressivement créer l’image d’une entreprise qui produit, mais ne protège pas suffisamment.
La licence d’exploitation est déterminée, dans une large mesure, par un comportement cohérent dans le temps. Une entreprise qui promet à plusieurs reprises des remédiations après des incidents, mais qui ne traite pas les causes structurelles, perd en crédibilité. Une entreprise qui utilise la communication publique pour minimiser les risques alors que des documents internes révèlent une image plus préoccupante crée une vulnérabilité sérieuse. Une entreprise qui traite les investissements dans la sécurité et l’environnement principalement comme un poste de coût, plutôt que comme une condition de l’existence durable de l’activité, court le risque que la conformité formelle se révèle insuffisante pour préserver l’acceptation sociale. La question centrale n’est pas seulement de savoir si l’entreprise est autorisée à opérer, mais si elle peut continuer à expliquer pourquoi ses activités sont responsables au regard des risques qu’elle crée et des intérêts qu’elle affecte.
La Gouvernance Stratégique de l’Intégrité place donc la sécurité et l’environnement au même niveau que les autres risques existentiels d’intégrité. La Gestion Intégrée des Risques de Criminalité Financière montre que les entreprises ne perdent pas leur position uniquement par des dommages financiers ou des sanctions formelles, mais aussi par la perte de confiance dans la manière dont elles maîtrisent les risques. Il en va de même pour l’environnement physique et la sécurité humaine. Une entreprise qui prend au sérieux sa licence d’exploitation relie les autorisations, les contrôles opérationnels, les données d’incident, les attentes des parties prenantes, les obligations ESG, l’analyse du risque juridique, l’assurance et la prise de décision au niveau de la direction dans un ensemble cohérent. Les risques de criminalité financière, les atteintes à l’environnement, les incidents de sécurité et les conditions de travail diffèrent juridiquement, mais touchent au même fondement : la question de savoir si l’entreprise mérite sa position sociale en agissant de manière démontrablement responsable.
Une approche intégrée de la conformité, de la continuité et de la responsabilité sociale
Une approche intégrée de la conformité, de la continuité et de la responsabilité sociale exige une vision fondamentalement différente des obligations environnementales, sociales et de sécurité. Ces obligations ne doivent pas être traitées comme des listes de contrôle de conformité séparées, mais comme des composantes reliées de la gouvernance d’entreprise. La conformité ne porte alors pas seulement sur la question de savoir si les règles sont formellement respectées, mais sur celle de savoir si les risques sont maîtrisés de manière à préserver la continuité de l’activité, la sécurité humaine, la protection de l’environnement et la légitimité sociétale. La continuité n’est pas une notion purement financière ou opérationnelle. Une entreprise qui maîtrise insuffisamment ses risques physiques peut être confrontée à des arrêts d’activité, des restrictions d’autorisation, des enquêtes pénales, des actions en dommages-intérêts, une perte de réputation, une résiliation de contrats, des problèmes de financement et une perte de confiance. La sécurité devient ainsi un facteur stratégique de continuité.
La responsabilité sociale donne à cette approche une profondeur normative. L’entreprise n’opère pas dans un espace commercial fermé, mais au sein d’une société dans laquelle ses activités ont des conséquences pour les salariés, les fournisseurs, les riverains, les ressources naturelles, les infrastructures publiques et les générations futures. Une approche intégrée exige que ces intérêts ne deviennent pas visibles uniquement lorsqu’un incident se produit ou lorsque le contrôle s’intensifie. Ils doivent être mis en balance en amont dans la stratégie, les décisions d’investissement, l’appétence au risque, les modèles de production, la contractualisation, la gestion de la chaîne de valeur et le reporting à la direction. Cela signifie également que la faisabilité commerciale ne prévaut pas automatiquement sur la protection. Lorsque la sécurité, l’environnement et les conditions de travail sont structurellement rendus dépendants d’une conformité minimale, une forme étroite et vulnérable de conformité apparaît. Lorsqu’ils sont intégrés dans la gouvernance de l’intégrité, un fondement plus solide pour une continuité responsable est créé.
La Gestion Intégrée des Risques de Criminalité Financière offre à cet égard un modèle puissant, parce qu’elle repose sur la cohérence entre les risques, les fonctions et les niveaux de responsabilité. La même entreprise qui travaille à la Maîtrise de la Criminalité Financière doit également être capable d’intégrer les risques physiques, sociaux et environnementaux de manière comparable. Cela ne signifie pas que l’expertise spécialisée disparaît, mais que les domaines spécialisés sont reliés au niveau de la direction. Les fonctions juridique, conformité, HSE, opérations, finance, audit, fiscalité, données, ressources humaines et direction doivent partager une vision commune des risques matériels, des critères d’escalade, des positions probatoires, des relations avec les autorités de contrôle et des exigences de responsabilité. La Gouvernance Stratégique de l’Intégrité rassemble ces éléments et empêche que la conformité soit réduite à un respect formel des règles par silo. Dans cette approche intégrée, il apparaît clairement que l’environnement, le travail, la sécurité et le BRZO ne sont pas des questions périphériques, mais des composantes centrales de la responsabilité contemporaine des entreprises.
