Hôtel BeauLac, Neuchâtel, Suisse
12 Octobre 2023
Masterclass Compliance II
Informer et former. Conformément à ses missions, la Fondation de la Haute Horlogerie organise des séminaires destinés aux professionnels de la branche, notamment sur les questions de « compliance ». Une première session a eu lieu en 2022 à Neuchâtel sur le Développement durable et les dispositions légales le concernant. Suite à ce premier atelier, largement plébiscité, une deuxième session s’est tenue en octobre 2023, toujours à Neuchâtel. Au menu de ce séminaire : protection des données, cybersécurité et achats responsables. Une table ronde sur la certification est venue clore les débats.
En guise de préambule, les principales conclusions de la session 2022 ont été remises en mémoire Elles sont de deux ordres. D’un côté, les questions liées au développement durable ont beaucoup progressé ces vingt dernières années, autant dans le monde professionnel que dans la société civile. Mais de l’autre, de nouveaux risques sont apparus, comme on a pu s’en rendre compte avec les conséquences du conflit en Ukraine.
Une assurance raisonnable
C’est précisément pour apporter des précisions quant à ce nouvel environnement que Morgane Rivier de la Fédération de l’industrie horlogère suisse est venue parler de la nouvelle législation suisse sur la protection des données entrée en vigueur 2023. Un exposé complété par celui de Gilbert Chopard associé gérant de Statom IT & Learning Solutions abordant la question sous l’angle de la sécurité. En exemple, deux cas de cyberattaque mettant en lumière les failles de systèmes pourtant aguerris, avec le vol de données sensibles à la clé.
La dernière intervention de la part de Céline Cheval, fondatrice de Buyer Beware, est venue apporter un éclairage sur les achats responsables dans le secteur horloger. Un secteur où règne une certaine « hypocrisie commerciale » consistant à se réfugier derrière l’envoi de documents contractuels de compliance. Les efforts demandés sur toutes ces questions ne s’apparentent-ils pas à un parcours semé d’embûches dans une jungle d’audits, de normes et autres certifications, questionnaient les intervenants de la table ronde. Seule réponse possible : adapter les exigences à la taille de l’entreprise et à ses risques spécifiques, sans perde de vue que toute norme consiste à fournir à la société civile une « assurance raisonnable » !
programme. programme. programme. programme. programme. programme. programme. programme
Introduction par Pascal Ravessoud
FHH Vice-President
Nouvelle législation suisse en matière de protection des données : les enjeux pour l’industrie horlogère
Titulaire d'un master en droit de la santé et des biotechnologies et en droit du sport de l'Université de Neuchâtel, Mme Rivier rejoint le service juridique de la Fédération de l'industrie horlogère FH en 2009 pour un stage de quelques mois dans le domaine de la lutte anticontrefaçon. Ce stage débouchera sur un poste de juriste qu'elle occupe toujours actuellement.
Depuis 2021, elle occupe parallèlement, toujours à la FH, un poste de cheffe de projet IT.
Au cours des années, Mme Rivier a notamment pris en charge les dossiers relatifs à la protection des données, à la législation environnementale américaine ou plus récemment à la responsabilité sociétale des entreprises.
A partir des définitions concernant les données personnelles, Morgane Rivier de la Fédération de l’industrie horlogère suisse a énoncé les principes clés s’appliquant à leur traitement et les obligations pour les entreprises qui en découlent. La première obligation concerne la journalisation des traitements, à savoir le fait de répertorier tous types de traitement effectués en interne, et l’obligation d’informer ou de transparence vis-à-vis des personnes concernées par la collecte de données. Pour ce qui est de leur consentement, le système de l’opt-out (sans opposition, c’est oui) prime sauf en cas de profilage à risque élevé ou de traitement de données sensibles. De leur côté, les personnes concernées ont droit à la transparence sur leurs propres données et bénéficient d’un droit d’accès, de rectification, d’effacement (droit à l’oubli) et de portabilité (obtenir ses données dans un format standard).
Autre obligation pour les entreprises : la sécurité des données selon une approche basée sur le risque. Ce qui implique des mesures techniques (pare-feu, antivirus…) mais aussi organisationnelles (gestion des mots de passe, violation de sécurité…). Dans ce contexte, la gestion de données personnelles confiée à des tiers est également une question délicate, uniquement autorisée si le responsable de traitement serait en droit d’effectuer ce traitement lui-même. L’utilisation de services de clouds à l'étranger pose notamment problème, nécessitant de vérifier le niveau de protection des données mise en place. En attendant un accord Suisse-Etat-Unis sur le modèle de celui conclu avec l’UE, tous les transferts ayant un lien direct ou indirect avec les Etats-Unis « seraient » pour l’instant illicites !
Considérations sécuritaires de la chaîne d’approvisionnement : la cybersécurité et comment se protéger des nouveaux risques
M. Gilbert Chopard est Associé gérant de la société Satom IT & Learning Solutions dont l’une des activités à forte croissance, est le conseil stratégique dans le domaine de la sécurité et de la protection des données, selon la norme ISO 27701.
Gilbert Chopard est titulaire d’un MBA en finance de l’Université de San Francisco et d’un Master en physique du solide de l’Université de Neuchâtel. Il est certifié CIPP/E, CPIM et ITIL et est membre du comité de plusieurs associations, suisses et internationales, dans le domaine IT.
Son parcours professionnel s’est déroulé aux USA et en Angleterre en tant qu’« Investment Banker », puis au Japon en tant que « Private Banker », avant son retour en Suisse dans le domaine informatique ou il développe, pour les sociétés de son groupe, des services à haute valeur ajoutée.
La sécurité de la chaîne d’approvisionnement est couverte par un ensemble de normes (ISO 28000 / ISO 27701. Parmi elles, la norme ISO 27001 mise en place par les entreprises concerne leur Système de Management de la Sécurité de l’Information (SMSI) et notamment la chaîne d’approvisionnement exposée aux pirates informatiques. Deux exemples soulignent les risques liés au hacking de sociétés tierces utilisées pour pénétrer à l’intérieur des systèmes informatiques de leurs clients : Xplain, société piratée en juin 2023 ayant permis de voler les données sensibles des polices cantonales et fédérale et Solarwinds, dont le mise à jour logicielle chez ses clients (Microsoft, Intel, Ciso, Pentagone…) a ouvert la voie au piratages de leurs données en 2020.
Quels risques pour le luxe ? L’externalisation de services comme les système ERP, les processus d’automatisation, de communication ou de stockage est devenue une question des plus délicates sans une gestion des risques identique aux validations internes de l’entreprise. Ce type de pratique demande donc une sécurisation tout au long de la chaîne d’approvisionnement en amont et en aval. Il s’agit d’abord et avant tout d’identifier les faiblesses non seulement de sa propre entreprise mais également de ses fournisseurs et clients afin de mettre en place un processus de suivi et d’amélioration efficace et surtout adapté à la taille de l’entreprise concernée afin d’éviter toute lourdeur administrative. Une piste à suivre : faire valider les maillons de la chaîne d’approvisionnement par une association qui pourrait gérer une partie des risques ?
Les achats responsables appliqués au secteur horloger
Céline Cheval-Calvel est chercheuse et formatrice en achats responsable auprès de la jeune génération d’acheteur. Elle travaille depuis une vingtaine d’années dans le domaine des achats et s’est spécialisée les cinq dernières années dans les achats responsable du domaine de l’horlogerie auprès de grandes maisons horlogères.
Diplômée de deux masters en achats et supply chain ainsi que d’un doctorat obtenu en 2022 avec l’IAE de Lyon. Ces travaux de recherche ont mis en avant, la dichotomie et la difficulté pour les professionnels des achats de déployer les démarches d’achats responsables adéquates avec leurs fournisseurs.
Elle est co-auteur d’un ouvrage académique qui a pour objet la sensibilisation du développement durable : « Recherches sur la Sustainability » aux éditions EMS – Août 2023, ainsi que d’un ouvrage à apparaître sur les achats responsables, éditions Dunod – Octobre 2023.
Comme le rappelait Céline Cheval, fondatrice de Buyer Beware, le secteur du luxe se caractérise par un encadrement et des systèmes d’autorégulation relativement denses. Ceux-ci ont comme objectif la transparence sur les conditions de production et la traçabilité du produit et de ses composant, notamment au niveau des matières premières et de leur traitement (métaux et pierres précieuses, nacre, cuire, sertissage, décoration…). Malgré tout, plusieurs rapports d’ONG ont mis en lumière certaines faiblesses de la chaîne d’approvisionnement dont l’opacité ne correspond pas nécessairement au discours institutionnel. Dans ce contexte, le rôle des responsables d’achats dans le secteur horloger est aujourd’hui d’aller au-delà de l’envoi de documents contractuels de compliance, une méthode à courte vue inadaptée et inefficace qui s’apparente à de « l’hypocrise commerciale ».
Dans le cadre de toute politique d’achats, il s’agit donc d’identifier les risques environnementaux, sociaux et économiques pour en comprendre les impacts afin d’adopter les bons outils. Et ceux-ci incluent des codes éthiques ou codes de conduite permettant d’imposer un cadre aux salariés et sous-traitants. Une politique d’achat responsable passe ainsi par un engagement de la part des fournisseurs sur un modèle de performance économique, environnementale et sociale ayant comme base de travail un référentiel de mesures, dans le cadre d’un bilan de gaz à effet de serre par exemple. A noter, enfin, qu’en novembre 2022, le Conseil fédéral a adopté l’ordonnance d’exécution relative au rapport des grandes entreprises (500 emplois – 40 millions de chiffre d’affaires) sur les questions climatiques.
Certifications et audit : quelle évolution en termes de mutualisation et reconnaissance croisée
Michel Mooser est un consultant et formateur dans les systèmes de gestion qualité et environnement pour les secteurs public et privé et dans le développement de projet ESG.
Diplômé Master en engineering de l’ETH de Zürich et détenteur de 2 Masters de l’EPFL en sciences de environnement et en audit environnemental.
Délégué du CICR (Comité International de la Croix-Rouge) au Pakistan, Libéria, Philippines et ex-Yougoslavie;
Il bénéficie de plus de 24 ans d'expérience en tant qu’auditeur et de plus de 10 ans d’expérience en tant que vérificateur de rapports de développement durable et d'émissions de gaz à effet serre.
M. Mooser a opéré pour le compte de clients aussi bien en suisse qu’à l’étranger. Il travaille depuis de nombreuses années pour l’industrie horlogère, et est notamment auditeur pour le RJC. Il est responsable audit pour la SGS.
Ancien Directeur Général de Toshiba Consumers France, puis P.d.G d’Orest s.a, premier sous-traitant de Marques internationales de joaillerie de luxe , Charles C. a rejoint Piaget de 2002 à 2009 en tant que Directeur général adjoint en charge du Jewellery Business Unit.
A partir de 2009, il est nommé Directeur Corporate Social Responsability et Membre du comité RSE et du comité de réputation de Richemont SA. Le Groupe le missionne en support stratégique et en Corporate Affairs auprès ses Marques jusqu'en 2019.
En parallèle, Charles C. s'est fortement impliqué dans l’essor du Responsible Jewellery Council, dont il est resté 10 ans membre du comité exécutif, occupant entre autres les postes de Vice-Président et de Président.
Administrateur d’Entreprises Agréé et Consultant Expert,; membre du Conseil Culturel de la FHH, membre du Conseil d'administration de la Haute Ecole de Joaillerie de Paris et d'Entreprises leader dans ce secteur en Europe.
Diplômé Major de Sup de Co Bordeaux, Titulaire- boursier d’un MBA de l’université de Montréal et Ch.B.A agréé.
Le mot de la fin est revenu à la table ronde, animée par Michel Mooser auditeur senior de la Société Générale de Surveillance et Charles Chaussepied, consultant expert, ancien directeur Corporate Social Responsabilité du groupe Richemont et membre pendant dix ans du comité exécutif du Responsible Jewellery Council. Premier constat : le monde se complexifie avec de plus en plus règlements et contraintes à intégrer dans les processus des entreprises. Conséquence : les audits se multiplient sur la cybersécurité, le bilan carbone, la traçabilité de la chaîne d’approvisionnement… Et les normes à respecter connaissent le même développement exponentiel, des normes qui, parfois, se contredisent. Sans parler des exigences formulées par les grandes entreprises qui peuvent varier de l’une à l’autre auprès des mêmes sous-traitants.
N'en demande-t-on finalement pas trop aux entreprises avec trop de donneurs d’ordre, trop d’audits sur trop de sujets ? Une évolution qui a notamment donné naissance à un business de la certification à la croissance exponentielle.
Finalement, tout est question d’adaptation, aux ressources de l’entreprise, à ses besoins en fonction des risques encourus et à ses objectifs de développement durable. Une situation qui demande aide et support des sociétés donneuses d’ordre vis-à-vis de leurs fournisseurs, en sachant que le but de toute norme est d’apporter l’allocation des ressources à ceux qui en ont besoin.