Le risque humain peut être défini comme l’incertitude que font peser les ressources humaines sur la compétitivité et la pérennité de l’entreprise qui les mobilise¹. On peut notamment citer les fraudes, les actes de corruption, le non-respect des procédures ou tout simplement, les erreurs humaines.

Mais qu’est-ce que cela coûte réellement ? En 2018, les dommages s’élevaient à un montant de CHF 166 millions en Suisse pour 50 cas jugés, soit plus de CHF 3.3 millions par cas en moyenne, et le cas minimum s’élève à CHF 50’000.-. A savoir que près de 50% de ces cas étaient causés par le management et/ou les employés². Toutefois, ces cas ne représentent qu’une infime partie de la réalité car bon nombre de cas ne sont, ni jugés (médiation), ni même décelés. Qui plus est, l’atteinte à la réputation pour l’organisation ne peut être chiffrée.

Mais alors, faudrait-il supprimer l’humain ? Je pense que la question est vite répondue. Mitiger le risque humain est bien possible mais les pratiques en la matière sont encore peu connues, ignorées ou incertaines quant à leur légalité.

Former et sensibiliser

Le climat d’inquiétudes que nous traversons actuellement ainsi que la généralisation du télétravail ont favorisé les escroqueries sur internet³. Parmi ces actes malveillants figurent l’hameçonnage (phishing) où l’utilisateur est invité à prendre action en cliquant sur un lien ou encore une pièce jointe. Comme conséquences, nous pouvons notamment citer la mise en place de rançongiciels (ransomwares) par les hackers au sein de votre système d’information où l’inattention ou encore l’ignorance de l’utilisateur.trice est exploitée. Malheureusement, ce genre d’attaque informatique a tué très récemment une patiente dans un hôpital à Düsseldorf et a déjà été perpétré dans un hôpital de chez nous, en Suisse.

Mitiger le risque humain dans ce cas de figure est assez évident en étant suffisamment actif au niveau de la formation et de la sensibilisation des utilisateurs et utilisatrices. Plusieurs plateformes en ligne vous permettent aujourd’hui de simuler ce genre d’attaques. Cela vous permettra ainsi de cibler les personnes à former davantage dans le domaine et à garder le
contrôle de vos données.

Screener

La pratique du screening du personnel est bien connue dans le monde anglo-saxon. Dans un premier temps, elle permet d’éviter les conflits d’intérêts lorsque les managers eux/elles-mêmes participent au processus de recrutement ou encore de promotion à l’interne, notamment dans le cadre d’une reprise d’équipe. Dans un deuxième temps, elle permet tout simplement de prédire les comportements futurs, basés sur les actes passés, l’humain étant accroché à ses habitudes⁴. Nous pourrions être amenés à croire qu’en Suisse, cela est inutile mais il n’en est rien : le niveau d’intégrité d’une personne n’est nullement corrélé au pays dans lequel elle est domiciliée.

Conformément à l’article 328b du Code des obligations, l’employeur peut traiter des données
concernant le travailleur dans la mesure où ces données portent sur les aptitudes du travailleur à remplir son emploi ou sont nécessaires à l’exécution du contrat de travail et pour autant que la Loi fédérale sur la protection des données soit respectée. Dès lors, si vous doutez de la légalité de la pratique de vérifier les antécédents de vos candidat.e.s et collaborateurs.trices, tel ne devrait plus être le cas.

Concrètement, il s’agira d’une part de vérifier l’intégrité de la personne en confirmant les données et informations transmises et en authentifiant les documents présentés auprès des sources émettrices (identité, diplôme, certificat de travail, permis de travail, antécédents judiciaires et financiers, réputation, etc.). D’autre part, les prises de référence auprès des précédents employeurs vous permettront de savoir si des procédures disciplinaires auraient déjà été prises à l’encontre de la personne concernée ou encore connaitre les vraies raisons de la fin de collaboration afin de ne pas se limiter aux termes génériques d’un certificat de travail.

Plusieurs niveaux de vérification sont possibles et imaginables. Toutefois, ils ne doivent pas être sélectionnés selon la personne concernée mais selon un niveau de risque défini au préalable par le département des risques humains. Ce dernier doit clairement identifier les postes sensibles au sein de l’organisation en fonction des niveaux d’accès et des responsabilités. Il appartiendra ensuite aux ressources humaines d’intégrer ces vérifications dans leur processus⁵.

Plusieurs autres mesures sont conseillées, notamment la mise en place de procédures disciplinaires suffisamment dissuasives ou encore un système interne d’annonce pour les lanceurs d’alerte (whistleblowing). Malheureusement, ce ne sont que des mesures qui n’entrent en jeu qu’après-coup et non des mesures préventives. Et lorsqu’on a pour objectif de mieux gérer un risque, mieux vaut le détecter et le traiter plutôt que d’en essuyer les conséquences.

¹Michel-Henry Bouchet, Intelligence économique et gestion des risques, Pearson Education, 2007.

²KPMG Forensic Fraud Barometer, 2019.

³Centre National pour la cybersécurité NCSC, MELANI, Coronavirus : Escroqueries sur Internet, 2020.

⁴Mathis, Jackson, Valentine, Meglich, Human Resource Management, Cengage Learning, 15ème edition, 2017, P.241-242.

⁵Nixon, Kerr, Background Screening and Investigations, Elsevier Inc., 2008, p.57-58

Date de publication : 11.11.2020

Auteur : Mahandry Rambinintsoa, DPO d’Aequivalent