Coronavirus : les assurances de responsabilité de l'entreprise fonctionnent
Publié par Benoît de Fontenay, associé chez Euklead consulting le - mis à jour à
Contrairement à la plupart des assurances de dommages (perte d'exploitation, annulation...), les assureurs de responsabilité civile (RC) doivent intervenir en cas de réclamation d'un salarié ou client. État des lieux des assurances de responsabilité civile générale, mandataires sociaux et cyber.
La ministre du Travail, Murielle Pénicaud, vient de le rappeler : les employeurs sont responsables des moyens qu'ils mettent en oeuvre pour protéger leurs salariés.
Un principe de responsabilité qui s'applique de la même façon pour les visiteurs, clients, fournisseurs et intervenants extérieurs, qui sont amenés à interagir directement avec l'entreprise.
Il est important de préciser qu'a contrario de la plupart des polices "Pertes d'exploitation", "Annulation" ou "Voyage", les contrats d'assurance de la responsabilité civile générale de l'entreprise ne comportent généralement pas d'exclusion liée à la survenance d'une pandémie.
En cas de manquement à ses obligations de précaution, la responsabilité civile de l'entreprise pourra être recherchée. Comment fonctionnent ses contrats d'assurance ?
Responsabilité à l'égard des salariés
Les salariés sont assurés au titre du contrat de responsabilité civile générale lorsqu'ils causent des dommages à des tiers. Ils peuvent également eux-mêmes être considérés comme des tiers, si leur employeur commet une "faute inexcusable" en ne respectant pas son obligation de résultat de mettre en place de conditions de travail préservant la santé et les maladies professionnelles de ses salariés.
Une contamination sur le lieu de travail pourrait donc être reconnue comme d'origine professionnelle et le salarié solliciter la condamnation de son employeur au titre de la faute inexcusable.
Au-delà de l'éventuelle recherche en responsabilité au civil, le risque est également pénal, qui n'est lui jamais assurable. Il y a déjà plusieurs cas d'entreprise (Amazon, AML Systems) où des salariés ont déposé plainte pour mise en danger de la vie d'autrui, estimant que leur employeur prenait des risques avec leur santé dans le contexte de pandémie.
Responsabilité à l'égard des clients, visiteurs, fournisseurs...
Dans les mêmes conditions, l'entreprise peut être mise en cause si une personne extérieure à l'entreprise contracte le Covid-19 et que l'entreprise n'a pas pris les précautions nécessaires pour l'en protéger, à l'occasion de réunions, colloques ou séminaires, où en ne leur distribuant pas les masques et protections nécessaires. Le risque est plus grand pour les entreprises recevant régulièrement du public (ERP).
La responsabilité contractuelle de l'entreprise peut également être recherchée, si du fait de la crise du coronavirus, elle ne remplit pas ses obligations de livrer un produit ou fournir un service.
Dans certaines conditions, restrictives, l'entreprise peut invoquer la force majeure en démontrant que l'épidémie était imprévisible à la signature du contrat (possible seulement pour les contrats signés avant le 30 janvier, date à laquelle l'OMS a déclaré l'épidémie comme "urgence sanitaire mondiale"), et que ses effets ne pouvaient être évités.
Ce dernier élément est plus difficile à établir, car il existe souvent des moyens alternatifs (trouver un autre fournisseur, ou un mode de transport plus rapide pour compenser un retard). Peu importe si c'est plus onéreux à mettre en place.
Un risque cyber accru
Le risque est aggravé du fait du développement massif du télétravail, avec des cybercriminels qui cherchent à exploiter des systèmes nécessairement plus vulnérables. Les entreprises doivent s'assurer que les systèmes sont aussi sécurisés que possible et alerter les employés des menaces à la cybersécurité lorsqu'ils travaillent à distance. A ce sujet, la CNIL a diffusé le 1er avril 2020 des recommandations pour sécuriser les systèmes d'information des entreprises.
Au-delà de la destruction de datas essentielles au bon fonctionnement de l'entreprise, ou d'un ransomware, le risque est la divulgation de données personnelles de salariés ou de clients (cartes bancaires, adresses...), dont l'entreprise est responsable. Les contrats cyber n'excluent pas la pandémie de leur couverture, sous réserve de prendre les mesures adéquates en cas de risque avéré.
Quelles précautions prendre ?
L'assurabilité du risque ne dédouane pas l'entreprise de prendre des précautions pour le prévenir. A défaut, l'assureur pourrait invoquer l'absence d'aléa, si une insuffisance de protection occasionne une contamination quasi inéluctable.
Parmi les exclusions figurant dans les polices d'assurance de responsabilité, on trouve la violation des règles de sécurité et de prudence imposées par une loi ou un règlement quand cette violation dérive d'une omission volontaire, lorsque l'auteur avait conscience du danger.
Au-delà de toute considération d'assurance, l'entreprise doit protéger ses salariés et toutes les personnes avec lesquelles elle interagit dans l'enceinte ou à l'extérieur de ses locaux, en limitant les contacts physiques au minimum. Les mesures possibles sont connues : mesures barrière, équipements de protection individuelle, organisation des postes de travail, conférences à distance, télétravail, etc.
L'entreprise doit également mettre à jour son " Document Unique d'Évaluation des Risques Professionnels " (DUERP), si celui-ci ne prévoit pas déjà les mesures nécessaires pour protéger la santé physique et mentale des salariés en cas de pandémie.
Responsabilité civile des mandataires sociaux
Cette couverture garantit les dirigeants de l'entreprise contre les réclamations engagées directement contre eux à titre personnel, par des parties prenantes (clients, salariés, actionnaires...) principalement pour faute de gestion ou défaut de protection. Dans le contexte du Covid-19, des réclamations pourraient être enclenchées en cas de défaillance d'entreprises, si les dirigeants n'ont pas bien évalué le risque et n'ont pas engagé des mesures suffisantes pour s'en protéger.
Les dirigeants pourraient notamment être tenus responsables d'une insuffisance d'adaptation à des conditions de production bouleversées, et d'avoir négligé le risque de disruption de la supply chain, en ne prévoyant pas des fournisseurs alternatifs.
Des actionnaires pourraient également leur reprocher de ne pas avoir bien communiqué sur les conséquences de l'épidémie sur les comptes de l'entreprise. Avec des marchés financiers anxieux et volatiles, une communication financière défaillante peut accélérer la chute d'un cours de bourse, et léser les actionnaires, qui se retourneraient contre les dirigeants.
Mise à plat de la cartographie des risques
Cette crise aura pour conséquence d'obliger les entreprises à revoir leur cartographie des risques. Du point de vue de la supply chain, existe-t-il de vastes opérations ou sources d'approvisionnement en Chine, ou dans d'autres pays qui ont été considérablement touchés par l'épidémie ? Comment mieux répartir le risque ? Peut-on relocaliser la production de fournitures essentielles ? Comment sont assurés les risques, et comment prévoir une meilleure couverture, notamment en cas de pertes d'exploitation ?
Les entreprises qui n'ont pas encore réalisé une cartographie de leurs risques peuvent profiter de cette période pour identifier leurs vulnérabilités et mieux s'en protéger.
Pour en savoir plus
Benoît de Fontenay, Euklead consulting, Expert en assurances d'entreprise, responsable pédagogique à l'Institut du Management des Risques