Directeur de la sûreté est sans aucun doute un métier très largement méconnu. Chaque année, de grands hebdomadaires économiques publient leur « Guide du salaire des cadres ». Le directeur de la sûreté ou le responsable sûreté n’y figurent jamais. Nous pouvons y trouver des directeurs sécurité ou des responsables Hygiène, sécurité et conditions de travail (HSCT), mais pas de directeur de la sûreté. Et si l’on s’intéresse à la presse grand public, on constate rapidement que le directeur de la sûreté n’y existe souvent qu’à travers des scandales, généralement liés à des questions de fichages de collaborateurs. D’ailleurs, si une part importante des recherches académiques les plus poussées porte sur le cas de la sûreté du groupe Ford aux Etats-Unis, ce n’est pas du tout par intérêt académique pour la question de la sûreté. Cela tient au fait que ce service a été pendant des décennies un outil de contrôle et de répression syndicale au service de la direction de l’entreprise[1]. Et pourtant, la fonction sûreté se développe largement aujourd’hui en France, sous l’effet des conséquences de la mondialisation et de nouvelles obligations que les entreprises doivent assumer dans le champ de la sécurité publique. 

La première question à laquelle il faut répondre est sémantique : sécurité et sûreté, même combat ? Pour commencer, une constatation : en dehors des débats entre spécialistes (généralement des praticiens), la différence entre ces deux notions ne suscite aucun débat. L’utilisation des deux vocables en français est assez indifférenciée. Les professionnels de la sûreté retiennent néanmoins une définition que nous retrouvons dans la littérature sur la question[2] : la sécurité (safety en anglais) est l’activité qui permet à toute organisation de faire face à tous les événements de type accidentels. La sûreté (security en anglais) permet quant à elle de faire face aux actions intentionnellement malveillantes. Présentée de cette façon, la séparation est claire. Mais au-delà, la volonté d’exister des professionnels de la sûreté a-t-elle un sens ? La réponse vient de la nature de la menace et des obligations qu’elle crée : la protection des collaborateurs contre les accidents de toutes natures passe par une série d’obligations détaillées, vérifiées, contrôlées régulièrement. A l’inverse, lorsque l’on parle de malveillances, les entreprises ont des obligations également très lourdes mais aussi beaucoup plus de liberté dans les moyens. Pour reprendre les propos d’un professionnel qui dirigea longtemps la sûreté d’un grand groupe du CAC 40, dans le domaine de la sécurité, les entreprises « doivent faire ». Dans celui de la sûreté, elles « peuvent faire »[3]. Cette relative liberté d’action est liée à la nature même du phénomène malveillant. Le criminel s’adapte aux mesures mises en place pour lui faire face. Il est donc nécessaire de disposer de souplesse et de marge de manœuvre lorsque l’on tente de gérer le risque criminel. Bref, cette volonté de nuire, généralement à des fins crapuleuses, même si la motivation peut aussi être politique ou idéologique comme dans le cas du terrorisme, est un comportement humain.

Le terrorisme justement est un des facteurs favorisant le développement de la fonction sûreté. Car il est à l’origine d’un alourdissement de la responsabilité des entreprises ces 20 dernières années. Au fondement de ces obligations, l’article L. 4121-1 du Code du travail dispose que « L’employeur prend les mesures nécessaires pour assurer la sécurité et protéger la santé physique et mentale des travailleurs ». Mais après l’attentat dont ont été victimes 11 membres de la Direction des Constructions Navales à Karachi en mai 2002, la Justice a donné à cette obligation une portée nouvelle en décidant qu’en vertu du contrat de travail le liant à son salarié, l’employeur est tenu envers celui-ci à une « obligation de sécurité de résultat ». Ce point est confirmé par la cour d’appel de Rennes dans un arrêt du 24 octobre 2007 concernant une victime du même attentat mais non salarié de DCNS[4]. Une décision postérieure est venue renforcer cette obligation ; le 7 décembre 2011, la Cour de cassation décide que, dans le cas d’un collaborateur expatrié, cette obligation de résultat pèse sur l’employeur même si les faits incriminés ont eu lieu en dehors de son temps de travail[5]. La logique développée ici par la Cour est que le collaborateur se trouve expatrié à la demande de son employeur et que sa présence dans un pays étranger potentiellement dangereux est la conséquence directe de ce statut d’expatrié. Dès lors, peu importe que l’agression dont a été victime une collaboratrice dans ce cas d’espèce ait eu lieu en dehors de son temps de travail.

 

Quelle réalité ?

Que sont les services de sûreté aujourd’hui en France ? En premier lieu, il faut noter que le fait d’avoir un service de sûreté dédié est l’apanage d’entreprises relativement grandes. Dans les petites et moyennes entreprises et même beaucoup d’entreprises de taille intermédiaire, la fonction est soit négligée, soit assumée à temps partiel, généralement par un professionnel de la sécurité. Et plus l’entreprise est grande, plus ces deux fonctions, sécurité et sûreté, sont séparées : c’est le cas dans presque tous les groupes du CAC 40.  Par ailleurs, ce sont rarement des unités pléthoriques : généralement moins d’une dizaine de personnes. Et la partie la plus visible de la sûreté d’entreprise, les agents dit « de sécurité » sont généralement les salariés d’un prestataire externe.

Un des facteurs qui influe le plus sur la structuration de la direction de la sûreté est l’exposition internationale de l’entreprise. Lorsque l’effectif localisé hors du territoire métropolitain dépasse 50% de l’effectif total, la structure de sûreté se décentralise. Et la direction de sûreté accorde alors une place très importante à l’évaluation de la menace en développant un véritable service « d’intelligence économique défensive » chargé de l’évaluation des risques criminels et terroriste auxquels l’entreprise est confrontée. La responsabilité centrale de ces directions est la protection des biens et des personnes contre les manœuvres malveillantes. Mais la gestion de crise, et particulièrement la mise en place d’une structure sur cette question relève, dans plus de 80%, de la direction de la sûreté. La cyber-sécurité est en revanche souvent exclue du périmètre de la direction de la sûreté. Au cours de notre travail de recherche[6], nous avons observé que 66% des répondants n’ont pas la charge de la sécurité IT au sein de leurs organisations. Ce qui signifie qu’une part majoritaire de ces organisations considère qu’il s’agit là d’un domaine suffisamment spécifique pour être traité à part.

 

Les défis

Malgré la réalité des menaces et des obligations, les directeurs de sûreté aujourd’hui en France ont toujours un positionnement hiérarchique relativement modeste. Nous avons tenté d’éclaircir ce point en 2015, dans le cadre de nos recherches. A la question « êtes-vous membres du Comex ? », seul 10% des professionnels de notre panel ont répondu oui. La situation s’est un peu améliorée depuis mais ce cas reste tout à fait minoritaire.  Lors de ce même sondage, nous avons observé que la très grande majorité des responsables sûreté des entreprises interrogées avait un accès rare et difficile à la tête de leurs entreprises. Et 20% de nos répondants n’en avaient aucun. Plusieurs facteurs sont susceptibles d’expliquer ce décalage. En premier lieu, le monde économique français (comme nos concitoyens d’ailleurs) vit dans l’idée que la protection des personnes contre la criminalité est une prérogative exclusivement régalienne. Ce qui implique que les acteurs privés ne se considèrent pas comme véritablement légitimes pour y participer et que, corrélativement, ils considèrent comme illégitimes les politiques publiques qui visent à leur faire supporter une partie du fardeau financier de cette protection. Une autre difficulté tient au fait que les directeurs de sûreté ont souvent du mal à faire la preuve de leur efficacité, du fait de deux caractéristiques de la fonction : les organisations de sûreté ont beaucoup de mal à démontrer un apport financièrement mesurable par l’entreprise. Par ailleurs, elles promettent d’atteindre une situation qui est par définition illusoire : la sûreté parfaite n’existe pas et il suffit d’un événement malheureux pour mettre en lumière les faiblesses d’une politique de sûreté ; faiblesses qu’aucune statistique fiable ne vient contrecarrer. Mais les temps changent ; et l’importance grandissante des entreprises dans la production de la sécurité publique donnera sans doute aux professionnels de la sûreté une place nouvelle.

 

L’avenir

Le 19 décembre 2017, le ministre français de l’Intérieur faisait le discours d’ouverture du colloque annuel du Club des Directeurs de la Sûreté et de la Sécurité des Entreprises. A cette occasion, il déclarait : « C’est dans cette perspective que, dès mon arrivée Place Beauvau, j’ai fixé comme priorité la création d’un vrai continuum de sécurité entre services de police et de gendarmerie, élus locaux et polices municipales, entreprises, mais aussi citoyens ». Et d’ajouter : « Il y a quelques années, on pouvait encore considérer qu’il y avait d’un côté la sécurité de l’État - le domaine réservé du régalien, et de l’autre la sécurité des entreprises - le domaine privé. Chacun voit bien que cette clé d’analyse n’est plus opérante ». Cette proposition de création d’un continuum de sécurité est ensuite légèrement précisée par le ministre : il insiste notamment sur les échanges d’informations entre les entreprises et les pouvoirs publics qui doivent être plus fréquents et donc facilités. Il souhaite également qu’un beaucoup plus grand nombre d’entreprises françaises soient mises à contribution et que cela ne se limite pas aux presque 200 sociétés déjà considérées comme opérateurs d’importance vitale. Les entreprises doivent donc aujourd’hui être considérées comme faisant partie intégrante de l’appareil de production de sécurité publique en France comme dans bon nombre de pays occidentaux. Le fait est qu’il s’agit d’une appartenance sous contrainte, législativement imposée. Mais il n’y a pas de doute sur le fait que nous observons un équilibre nouveau, changeant, entre l’action publique et l’action d’acteurs privés dans la production de sécurité publique. A ce sujet, un universitaire scandinave résume parfaitement en les synthétisant les deux logiques qui doivent aujourd’hui présider la stratégie de sûreté des entreprises[7].

D’un côté, la logique néo-républicaine. Elle ne fait pas référence au paysage politique des Etats-Unis mais plutôt à une attitude qui serait adoptée par les entreprises et qui serait, pourrait-on dire « patriotique », ou au service de la nation. Dans cette optique, la sûreté d’entreprise est au service de la nation via sa contribution à la sécurité publique et sa capacité à faire face, sans interrompre ses activités, à des événements graves. La seconde de ces approches est qualifiée de « néo-libérale ». Dans ce cas, la question de la sûreté est traitée selon un processus classique de gestion des risques ; ce qui en fait naturellement une pratique d’entreprises soumises à une obligation de rentabilité. Cela implique que les risques de sûreté sont mesurables et qu’ils peuvent entrer dans un calcul de type coûts/bénéfices. Autrement dit, le risque de sûreté doit, dans ce cas, être analysé comme n’importe quel autre risque, selon une logique probabiliste. La mise en parallèle de ces deux logiques nous permet de mettre en lumière le caractère hybride de la fonction de directeur de la sûreté avec tout ce que cela implique en termes de légitimité au sein même des organisations. Dans le premier cas, la gouvernance sera « patriotique », mettra en œuvre des méthodes issues des forces de sécurité publique avec la résilience comme objectif. Ici l’analyse de la menace ne pourra pas être considérée comme une analyse de risque parce que les conséquences potentielles d’une telle analyse ne sont pas admissibles pour une nation : une entreprise dont l’activité est d’importance vitale ne peut arriver à la conclusion que l’analyse du risque de sûreté est défavorable et que, par conséquent, l’activité doit être abandonnée, au moins dans certains environnements. Dans le second, elle sera libérale, avec la gestion des risques comme outil et la rentabilité comme objectif. Ce qui implique, qu’en l’occurrence, l’entreprise a le choix de faire prospérer une activité ou d’y renoncer si le coût du risque est supérieur au bénéfice attendu. Ces deux logiques de gouvernance seront entre les mains de la même personne. Mais la question à laquelle les directions de sûreté doivent de plus en plus faire face est : comment les intérêts de la nation devant être pris en charge partiellement par les entreprises peuvent être le mieux représentés dans les instances dirigeantes des entreprises ? Si le rôle du directeur de la sûreté est simplement d’assurer la protection des intérêts de l’entreprise, un positionnement intermédiaire au sein de la hiérarchie est concevable. Mais dans l’hypothèse où les organisations privées deviennent aussi de véritables auxiliaires de sécurité au service de la nation, alors la fonction telle qu’envisagée aux Etats-Unis, le Chief Security Officer, membre du Comex, prend tout son sens. Nos recherches nous ont appris que 75% des responsables sûreté dans les entreprises françaises étaient d’anciens militaires, policiers ou gendarmes. Une première explication, un peu superficielle, à ce phénomène peut sembler évidente : ils ont la compétence. Mais ils sont surtout un trait d’union, un lien entre deux mondes qui se doivent de collaborer pour le bien de tous.

[1] K. Walby, R.K Lippert, « Ford first? Corporate security and the US department of war’s plant protection service interior organization unit 1917-1918 », Labor history, Vol. 56, n° 2, 2014

[2] A. Juillet, O. Hassid, M. Pellerin, Gérer les risques criminels en entreprise, De Boeck, 2012

[3] J.-P. Vuillerme, « Positionnement et périmètre des directions de sûreté », Sécurité et Stratégie n° 14, La Documentation Française, 2013

[4] CA Rennes, 24 octobre 2007, Bogatstaia ép. Donnart c/ Technopro

[5] Cass. Soc. 7 décembre 2011, n° 10-22875

[6] L. Griot, « La fonction sûreté dans les grandes entreprises françaises », thèse de doctorat en sciences de gestion, Université Panthéon-Assas, nov. 2019

[7] K. Lund Petersen, « The corporate security professional: A hybrid agent between corporate and national security », Security Journal, vol. 26, 3, 2013