Archives de catégorie : Entreprises

Le procès-verbal: un art plus qu’une science?

Publié le par

J’assistais vendredi à une présentation de Sylvia Groves, fondatrice de Governance Studio, une petite firme que se spécialise dans l’aide aux organisations par rapport à des question de gouvernance, dont la confection de bon procès-verbaux (les fameuses «minutes», en anglais). Une de ses spécialités : préparer de bon procès-verbaux (formels) de réunions de conseil d’administration, par exemple.

J’ai toujours été surpris de voir à quel point on demande à des avocats et des parajuristes de préparer de tels documents, sans jamais qu’ils soient vraiment formés pour le faire. On assume qu’ils sauront comment faire. Eh ben, grosse surprise, ce n’est pas le cas. Quand on donne cette tâche à quelqu’un qui a appris «sur le tas», sans trop réfléchir à la raison d’être de l’exercice, on se ramasse avec des documents corporatifs de qualité très variables et qui protègent l’organisation et ses administrateurs de façon toute aussi variable. Pensez-y.

Rafraichissant donc de voir une praticienne du droit qui distille son expérience liée à la préparation de bon procès-verbaux et qui nous résume si bien les pièges à éviter. En résumé, question de mieux m’en souvenir et de peut-être en faire bénéficier autrui, voici donc mon petit sommaire à ce sujet:

  • Comprenez et conservez à l’esprit la raison d’être des résolutions et des procès-verbaux (il y a un but à ces documents, ils n’existent pas simplement pour donner du travail aux secrétaires corporatifs et aux avocats, croyez-le ou non);
  • Rappelez-vous que le but des résolutions et procès-verbaux et de fournir une preuve prima facie de certaines décisions (incluant ce dont on a formellement décidé, qui en a décidé ainsi, comment, quand, etc.);
  • Rédigez toujours ce genre de résumé de réunion en gardant à l’esprit comment il pourrait être utilisé ensuite, incluant afin de démontrer que les décideurs (les administrateurs, par ex.) ont fait preuve (ou non) de diligence appropriée, ou encore qu’ils se sont acquitté  (ou non) de leur devoir de fiduciaire envers l’organisation et ceux qu’ils sont censés protégés, de par leur rôle;
  • Le procès-verbal doit évidemment énoncer qui a assisté et comment tout vote a été tenu et son résultat, incluant ceux qui se sont abstenus de voter, etc. C’est la base, mais il faut plus.
  • Le but ici n’est pas cependant d’identifier, d’énumérer ou de répertorier les interventions de chaque membre du conseil – en principe, sauf exception d’un membre faisant rapport spécifique quant à un dossier précis, le procès-verbal devrait éviter de nommer ce que chaque participant spécifique a dit ou fait pendant la réunion;
  • Un procès-verbal ne devrait pas non-plus être un enregistrement mot-à-mot, ni un relevé précis de chaque parole prononcée ou de chaque détail qu’on a abordé ou considéré par rapport à une décision donnée – on veut résumer la discussion en conservant une trace du processus, sans aller trop dans les détails, incluant qui a dit précisément quoi, etc. On veut en particulier généralement éviter de citer les individus -ce n’est pas le but d’un tel document;
  • Par contre, si on indique rien d’autre que la décision finale elle-même par rapport à un élément quant auquel on doit statuer (par ex., l’entreprise fera X), des tiers pourraient éventuellement utiliser le contenu du procès-verbal pour démontrer que ces administrateurs ne s’ont pas acquittés de façon adéquate de leur devoir de décider d’un façon diligente et raisonnable, en sommes en adoptant un peu n’importe quelle décision, sans vraiment y réfléchir ni dûment considérer et évaluer les éléments de faits disponibles (par ex. ce qui se trouvait dans les documents soumis pour examen avant la réunion)
  • Visez donc un paragraphe par point de décision, en évitant les simples énoncés d’une phrase quant au fait qu’au final on a pris telle ou telle décision, en oubliant de fournir aussi des explications quant au processus qui a mené à cette décision, à savoir ce qu’on a pris en compte et comment, etc.;
  • D’ailleurs, idéalement, le procès-verbal conservera aussi une trace des documents qui ont été circulés et que le groupe a pris en compte pour parvenir à sa décision;
  • Si vous êtes chargé de préparer le procès-verbal, conservez le contrôle sur le document, sans laisser d’autres s’en emparer et le modifier à leur guise, sans trace ni explications aux autres impliqués si des modification sont apportées après votre projet initial;
  • Éviter de vous placer dans une situation où vous avez préparé un procès-verbal qui ne reflète pas la réalité de ce qui est survenu durant une réunion. Par ex., on devrait évidemment éviter tout ajout au procès-verbal qui ne reflète pas un sujet qui a réellement été abordé ou une chose qui n’a pas réellement été dite pendant la rencontre (oui, même si on a simplement oublié d’aborder ce point par mégarde);
  • Soyez précis dans votre rédaction, incluant quant à la terminologie, en utilisant tous les mots et les noms de façon uniforme, d’un paragraphe à l’autre et d’un procès-verbal à un autre;
  • Éviter l’utilisation de jargons (juridique ou d’affaires) sans d’abord définir toutes ces expressions, en évitant aussi d’utiliser des mots, des noms ou des titres que vous n’avez pas vérifié (par ex. éviter de parler du «CFO» alors que la société en question possède un «Vice-Président Finances», mais pas de «CFO»);
  • Mettez l’emphase sur une forme facilitant la lecture, en uniformisant idéalement la forme pour l’ensemble des procès-verbaux d’une organisation donnée;

Comme point boni, la conférence recommandait aussi de s’assurer que tous et chacun des membres ayant assisté à une réunion quant à laquelle un procès-verbal a été dressé) détruise toutes ses notes, une fois le procès-verbal dressé et adopté, minimisant ainsi les chances que ces notes refassent plus tard surface dans un litige d’une façon qui contredise le procès-verbal.

Dans mon expérience avec les PME, les procès-verbaux s’avèrent relativement rares parce que tout le monde veut éviter les complications liées à la tenu d’assemblées et de réunions formelles Voilà pourquoi 95% des décisions corporatives de PME (au niveau du conseil d’administration ou des actionnaires) se prennent sans tenir de rencontre ni d’assemblée, mais bien en signant plutôt des «résolutions» écrites. Cela dit, il s’avère tout de même judicieux de savoir comment préparer de bon procès-verbaux quand cela s’avère nécessaire, sans parler du fait que plusieurs de conseils de Sylvia Groves s’avèrent aussi applicables en rédigeant des résolutions.

Governance Studio offre plusieurs livres sur le sujet, dont un petit fascicule gratuit intitulé 10 Secrets Directors Must Know About Minutes). (Non, je n’ai pas de lien avec eux, ni d’incitatif pour  ajouter un tel lien à ce billet.)

Cybersécurité 101 pour votre organisation: faire preuve de gros bon sens peut faire toute la différence

Publié le par

Le blogue Slaw publiait hier matin un bon article fournissant des conseils de base en matière de cybersécurité et s’adressant particulièrement aux firmes de professionnels quant à l’importance de la formation du personnel. On penserait que le fait d’avoir une profession fondée sur le secret professionnel est susceptible de faire des avocats des fans de cybersécurité mais… non. Dans mon expérience, les juristes sont souvent les derniers à vouloir entendre parler de sécurité informatique -comme l’associé qui, un jour, m’a contacté pour de l’aide après avoir inséré une clé USB (infectée par un virus) dans l’ordinateur, tout contrarié par le fait que l’anti-virus bloquait l’accès à ce périphérique.

Je me permets donc de partager avec vous ce matin certains conseils de base en matière de cybersécurité, étant entendu que je crois qu’ils peuvent bénéficier à toutes les organisations. Pensez-y comme des applications du gros bon sens à l’ère numérique:

  • Posez-vous la question quant à la nature de vos données et pourquoi elles pourraient intéresser un tiers et/ou nuire à votre organisation si elle était volées ou verrouillées à votre insu;
  • Faites un inventaire de tout votre matériel informatique, incluant tout ce qui se connecte à vos appareils et votre réseau et avisez votre personnel du risque que vous fait courir chaque nouveau branchement (incluant même simplement brancher une clé USB infectée!);
  • Réalisez que tout ce qui vous branchez à Internet s’avère susceptible d’être compromis, incluant particulièrement tout appareil qui n’est pas pleinement à jour (incluant les mises à jour de toutes ses composantes logicielles et matérielles) – assurez-vous que les mises à jour soit effectuées régulièrement de TOUT votre matériel (en débutant par votre routeur et le système d’exploitation de vos ordinateurs/serveurs);
  • Gérez adéquatement comment votre personnel se branche à distance et envisagez le risque que l’ouverture de cette porte fait courir à l’organisation, dont par exemple quand votre personnel utilise son propre matériel potentiellement infecté/compromis;
  • Mettez fin à la pratique de vous fier uniquement à des mots de passe dont l’usager est en mesure de se souvenir et utilisez plutôt un bon gestionnaire de mots de passe;
  • Faites usage d’authentification à deux facteurs (2FA) quand c’est possible -imposez à vos usagers de l’utilisez avec toutes les applications et tous les services le permettant;
  • Prenez au sérieux la nécessité de former votre personnel quant à la cybersécurité et faites-le réellement périodiquement, au moins une fois l’an pour chaque individu (la stupidité humaine est a l’origine de beaucoup d’incidents de sécurité), en mettant notamment l’emphase sur les classiques de la cybersécurité, dont :
    • Le problème inhérent des mots de passe piètres et/ou réutilisés;
    • Le danger qu’implique le fait de naviguer vers un site piégé ou même de simplement de cliquer sur un lien contenu dans un courriel piégé;
    • Les autres dangers associés au courriel, dont le danger des pièces jointes (combien de fois ai-je eu un employé ou un associé me dire qu’il venait d’activer un fichier piégé?);
    • La pratique du «social engineering» et son rôle dans plusieurs attaques effectuées, en contournant les dispositifs de sécurité parce qu’un humain a été berné par un autre;
  • Sachez d’avance comment vous agirez (l’organisation) s’il arrive un incident de sécurité, incluant qui vous devrez contacter, comment votre personnel devra agir, etc.;
  • N’assumez pas que votre organisation ne vaut pas la peine d’être ciblée – nous sommes tous des cibles potentielles, souvent  même sans que le(s) malfrat(s) n’ait voulu nous cibler spécifiquement.

D’ailleurs, à ce sujet, avec l’adoption récente du projet de loi 64 par le Québec, je vous dirais qu’il n’est pas trop tôt pour commencer à prendre la cybersécurité au sérieux!

Modification du projet de loi 64 qui continu sa progression vers son adoption éventuelle

Publié le par

Le projet de loi 64 continu de faire son chemin dans le processus législatif québécois, alors qu’on publiait plus tôt ce mois-ci le rapport d’étude de la  commission parlementaire et sur lequel elle planchait depuis des mois. Cette étape complétée, le projet de loi se rapproche encore davantage d’une modification de la loi québécoise en matière de protection des renseignements personnels (la Loi sur la protection des renseignements personnels dans le secteur privé).

La commission propose une série d’aménagements au projet de loi 64, visant entre autres à répondre à certains commentaires découlant des consultations publiques. Ces modifications comprennent notamment les suivantes :

  1. Créer certains nouveaux droits pour les individus;
  2. Obliger les entreprises à vérifier et confirmer que les renseignements personnels qu’elles entendent exporter vers l’extérieur du Québec bénéficieraient d’une «protection adéquate» dans cette autre juridiction (une obligation pas mal plus permissive que la version originale du projet de loi qui aurait exigé qu’on vérifie le «niveau de protection équivalent» à la loi québécoise);
  3. Ajouter une obligation d’informer les individus dont on recueille les renseignements personnels, non-seulement de la catégorie générale de tiers, mais aussi du nom spécifique des tiers auxquels ces renseignements pourront être communiqués;
  4. Permettre de déléguer à des tiers le rôle de ce qu’on désigne le «responsable de la protection des renseignements personnels» (par exemple, un fournisseur ou un spécialiste auquel on impartirait cette fonction), plutôt que d’insister que ce soit un dirigeant ou un employé de l’organisation même;
  5. Obliger les entreprises utilisant de l’information qui a été «dépersonnalisée» à déployer des moyens raisonnables afin de limiter les risques de réidentification des individus visés en réalité;
  6. Permettre l’utilisation de renseignements personnels même en l’absence de consentement, notamment quand cela s’avère nécessaire dans le contexte d’une prestation de services ou aux fins de fournir un bien;
  7. Permettre aussi d’utiliser des renseignements dans le cadre d’«opérations commerciales» de toutes sortes, pouvant dépasser les simples transaction commerciale de type M&A, incluant les financements (en pratique, cela se fait déjà souvent);
  8. Ajouter la possibilité pour les organisations délinquantes de régler le dossier, en s’engageant à remédier ou atténuer les conséquences de ses violations, etc.;
  9. Modification du montant des amendes (les «sanctions administratives pécuniaires») qui pourraient résulter de l’application de la nouvelle loi pour les individus ou les organisation délinquant(e)s. Par contre, le maximum de 25M$ (ou 4% du chiffre d’affaires), lui, demeure inchangé;
  10. Limiter ce que les entreprises doivent remettre aux individus qui en font la demande de voir «leurs» renseignements, en en excluant les renseignements indirectement créés ou déduits des renseignements qu’avait fourni à l’origine l’individu visé.

Le projet de loi est désormais libre de continuer sa progression (examen du rapport, adoption, etc.) devant éventuellement culminer dans l’adoption formelle par l’Assemblée nationale et son entrée en vigueur. Selon toute vraisemblance, cela devrait survenir d’ici la fin de l’année 2021.