Dirigeants face au risque pénal: anticiper, gérer et rebondir

Un accident grave sur un chantier, une cyberattaque qui paralyse les systèmes, un cas de harcèlement en interne, une suspicion de fraude: ces situations parmi d’autres, plus fréquentes qu’on ne pense en entreprise, peuvent rapidement conduire à des poursuites judiciaires.

Pour les dirigeants (membres de conseils d’administration, direction, RH), l’enjeu ne se limite pas à préserver la continuité des opérations. Leur responsabilité personnelle peut aussi être engagée. A cet égard, on pense que le risque, ce n’est que pour les personnes à l’origine de l’événement, le(s) fautif(s). Non. Il découle aussi – et parfois surtout – de la manière dont la situation est gérée dès les premières heures. Et la réussite de cette gestion dépend d’un effort d’anticipation.

L’actualité le rappelle chaque semaine. Dans la construction, par exemple. Les accidents graves font systématiquement l’objet d’enquêtes pénales. L’analyse ne s’arrête alors pas à l’événement lui-même, mais remonte à l’organisation (plan de sécurité, compétences, formation, supervision). Il en va ainsi par exemple dans le cas de l’effondrement de l’échafaudage à Prilly.

En matière de cybersécurité, les attaques se multiplient sur les entreprises de services, surtout celles traitant des données sensibles. La cyberattaque menée contre le groupe Vidymed ou, récemment, le groupe Réseau radiologique romand le démontre.

Dans le secteur financier, des manquements à des obligations de diligence peuvent conduire à des poursuites. Une absence de signalement par un gérant et l’institution se retrouve dans le viseur des autorités, comme le rappelle le procès actuel de la banque Lombard Odier au Tribunal pénal fédéral à Bellinzone. La réalité est ici simple: cela n’arrive pas qu’aux autres.

Les entreprises sont généralement bien entourées pour faire face aux situations ordinaires sur le plan opérationnel.

En revanche, les implications des décisions prises, surtout dans l’urgence consécutive à des situations imprévisibles, sont souvent sous-estimées. Or, c’est précisément à ce moment que tout se joue: faut-il documenter immédiatement les faits? Comment sécuriser les informations? Qui peut communiquer et que dire? Faut-il lancer une enquête interne ou compter sur la police? Comment collaborer avec les autorités?

Des décisions prises sans consultation préalable dans la précipitation (absence de traçabilité, communication inadaptée, destruction involontaire de données ou conflits d’intérêts) peuvent aggraver une situation qui est déjà suffisamment critique.

La première réponse est d’abord organisationnelle. Les entreprises gagnent à cartographier leurs risques pénaux, à clarifier les responsabilités et à mettre en place des dispositifs rapidement activables: procédures d’alerte, plans de gestion de crise, lignes de communication, formation des cadres. L’objectif n’est pas d’éliminer le risque (c’est illusoire), mais de pouvoir montrer que des mesures raisonnables ont été prises.

Lorsque l’événement survient, la priorité est alors double: stabiliser la situation et s’entourer des compétences nécessaires.

Sur le plan juridique, le dispositif doit permettre d’établir les faits, de préserver les preuves, d’analyser la situation et, surtout, de coordonner les actions à mener selon les domaines d’exposition. Dans cette optique, désigner une personne qui pilote ce dispositif soulage et prépare la justification des décisions prises face à un environnement incertain dans lequel la responsabilité des dirigeants est en jeu, en clarifiant les options et en évitant les erreurs irréversibles.

Dans ce contexte, les dirigeants n’ont pas seulement besoin d’un pilotage, mais également d’un ensemble d’expertises pour conduire les actions à entreprendre. En pratique, une gestion efficace du risque pénal suppose une coordination étroite entre différentes compétences – investigations, soutien psychologique, communication internet et médias, cybersécurité ou gouvernance – dont les interventions doivent être articulées en cellule de crise. Sous cet angle se pose naturellement la question des implications financières de la mobilisation de ces compétences indispensables. Cependant, le coût réel n’est pas celui du réseau. C’est celui d’une mauvaise décision.