Les besoins pour plus de sécurité augmentent progressivement. La prévention du risque est devenue un enjeu sociétal. A l’instar de la société actuelle, la gestion du risque est une préoccupation majeure au sein des établissements et services sociaux et médico-sociaux (ESSMS). Le besoin de sécurité est aujourd’hui et sera en encore plus demain une priorité de chaque jour. La judiciarisation montante est commune à tous à nos champs (personnes en situation de handicap, personnes âgées dépendantes, personnes souffrant d’une addiction, protection de l’enfance, prévention de la délinquance, logement social, exclusion, insertion et réinsertion…).
L’établissement ou le service social que nous évoquons ici est une « personne morale publique ou privée » décrite dans le code de l’action sociale et des familles (CASF) et bénéficie le plus souvent de fonds publics pour remplir des missions d’intérêt général et d’utilité sociale telles que définies par l’article L. 116-1 du code de la santé publique : « L’action sociale et médico-sociale tend à promouvoir, dans un cadre interministériel, l’autonomie et la protection des personnes, la cohésion sociale, l’exercice de la citoyenneté, à prévenir les exclusions et à en corriger les effets. Elle repose sur une évaluation continue des besoins et des attentes des membres de tous les groupes sociaux, en particulier des personnes handicapées et des personnes âgées, des personnes et des familles vulnérables, en situation de précarité ou de pauvreté, et sur la mise à leur disposition de prestations en espèces ou en nature. Elle est mise en œuvre par l’Etat, les collectivités territoriales et leurs établissements publics, les organismes de sécurité sociale, les associations ainsi que par les institutions sociales et médico-sociales. » L’ensemble de ces prestations est précisé dans l’article 5 de la loi n° 2002-2 du 2 janvier 2002 rénovant l’action sociale et médico-sociale.
Au cours des 50 dernières années, certains risques ont conservé leur périmètre traditionnel tandis que d’autres ont radicalement évolué. Les gestionnaires d’ESSMS sont confrontés à différentes familles de risques :
→ ceux liés à la gouvernance des structures (risques juridiques, responsabilité civile et/ou pénale, risques relatifs au domaine assurantiel) ;
→ ceux liés aux fonctions supports et logistiques (risque employeur, risques professionnels, risque financier, risques liés à l’information et cyber-risque, risques dans les établissements recevant du public [ERP], domaine général de la santé et de l’hygiène et des risques et sécurité sanitaires) ;
→ ceux générés dans nos métiers spécifiques dits aussi « risques opérationnels » ;
→ enfin ceux liés aux relations avec l’extérieur : risques technologiques, naturels, environnementaux.
Pour être effective, la politique de gestion des risques devra être une composante stratégique déterminée. Elle s’appuiera sur une démarche très structurée qui ira du recensement des facteurs des risques au traitement des éléments ainsi identifiés. Ce sera donc simultanément une démarche managériale instituant une politique appropriée de gestion du risque et une approche technique visant concrètement « à maîtriser les risques », c’est-à-dire à gérer les risques évitables par des mécanismes de prévention et de protection.
On évoque souvent cinq ou six phases dans un projet de « gestion des risques ».
Les institutions, établissements et services devront y définir précisément leurs orientations. Cette recherche sera généralement confiée à une personne « risk manager » et/ou à des commissions ou sections désignées à cet effet. Cette personne et/ou ce groupe aura pour mission première d’établir le schéma général de gestion du risque.
Apprécier l’étiage actuel de la structure sociale et/ou médico-sociale vis-à-vis de ses risques. Il s’agit, d’une part, d’identifier les risques et, d’autre part, d’établir les études et travaux à réaliser.
L’objectif est de mettre en œuvre des outils destinés à protéger/prévenir des risques : il s’agit des outils qualifiés « d’outils d’analyse a priori », comme le DUERP (document unique d’évaluation des risques professionnels), le HACCP (Hazard Analysis Critical Control Point) et la cartographie des risques.
Il s’agit d’user d’outils d’analyse en cas de survenance d’un événement désigné comme un risque, un événement inopportun, un accident, une maladie professionnelle : ces instruments sont appelés « outils d’analyse a posteriori », comme « l’arbre des causes », la gestion des événements indésirables.
La structure va se doter de plans d’action, d’outils de gestion de crise pour répondre aux risques inventoriés.
La crise si elle se produit, l’événement inopportun qui surgit à un moment donné et les conséquences qu’on en tire en termes de plans d’action doivent amener à réévaluer le projet risque de la structure ESSMS et lui permettre d’évoluer.
Les agents de direction mais aussi les travailleurs sociaux ont une approche souvent très différente d’un ESSMS à un autre, d’un établissement et/ou d’un service à un autre. Mais c’est une différenciation que l’on retrouve également dans tous les autres types d’entreprises.
On distingue généralement trois catégories qui ne sont pas systématiquement homogènes :
→ ceux qui ne portent que très peu d’intérêt à la gestion des risques. Ils nient souvent le risque et c’est souvent pour eux plus une négation ou une contrainte qu’une part appréciable de leur approche managériale ;
→ ceux qui, au contraire, surestiment la gestion de ces risques. Il s’agit de cadres ou de travailleurs sociaux qui manifestent une véritable angoisse face au risque. Ils se montrent alors particulièrement soucieux face aux risques de mise en cause civile et/ou pénale ;
→ enfin, ceux qu’on peut qualifier de « réalistes », qui font une lecture du risque sans le minimiser ni le surévaluer.
La responsabilité juridique est forte dans la plupart des champs sociaux et médico-sociaux mais elle est encore plus prégnante et plus complexe dans les domaines du handicap, de la protection de l’enfance et de la prévention de la délinquance.
Originellement, « responsabilité » vient du mot latin respondeo, qui signifie « répondre de ». La responsabilité civile est donc l’obligation incombant à une personne, physique ou morale, de répondre des dommages – de réparer les dommages – qu’elle cause à autrui. Le seul fait d’avoir causé un dommage à autrui n’oblige pas toujours son auteur à en réparer les conséquences.
La responsabilité civile de l’auteur d’un dommage ne peut être engagée et celui-ci ne peut être condamné à le réparer que lorsque trois conditions, cumulatives, sont remplies.
Les principes régissant la responsabilité extracontractuelle sont édictés par les articles 1240 à 1244 du code civil. Les articles 1240 et 1241 décrivent la responsabilité fondée sur la faute, l’article 1242, alinéa 1er, la responsabilité du fait des choses que l’on a sous sa garde, l’article 1242, alinéas 2 et 3, la responsabilité en matière d’incendie, l’article 1242, alinéas 4 à 7, la responsabilité du fait des personnes dont on doit répondre, l’article 1243, la responsabilité du fait des animaux et l’article 1244, celle du fait des bâtiments.
Dommage direct : pour donner lieu à responsabilité, le dommage doit être la conséquence directe du fait générateur de responsabilité. Ce principe est sous-tendu par l’article 1240 du code civil : « Tout fait […] qui cause à autrui un dommage, oblige celui par la faute duquel il est arrivé […]. » Il est repris de façon plus explicite en matière contractuelle dans l’article 1231-4 du code civil : « Dans le cas même où l’inexécution du contrat résulte d’une faute lourde ou dolosive, les dommages et intérêts ne comprennent que ce qui est une suite immédiate et directe de l’inexécution de la convention. »
Le lien de causalité entre le fait générateur et le dommage est la troisième condition de la responsabilité civile. Elle se situe à deux niveaux : elle implique que soit déterminé quelles étaient les causes nécessaires à la survenance du dommage et quelles sont, une fois la cause de l’accident déterminée, les suites dommageables que son auteur devra réparer. En l’absence de la démonstration d’une relation de cause à effet entre un dommage et la faute d’un tiers, à quelque titre que ce soit, la responsabilité de ce dernier ne peut être engagée.
La responsabilité pénale est la responsabilité encourue par une personne physique et/ou, depuis la loi n° 92-683 du 22 juillet 1992 portant réforme des dispositions générales du droit pénal, par une personne morale de droit privé ou de droit public, en raison de la commission d’une infraction, troublant l’ordre social, dont la réparation se fera par la condamnation à une peine (amende, emprisonnement…) prononcée par le juge pénal.
Infraction et peine doivent être prévues par un texte légal ou réglementaire et non en vertu d’un principe général comme en matière de responsabilité civile.
Une infraction pénale peut donner lieu à une responsabilité civile lorsque les actes qui constituent l’infraction (par exemple des coups et blessures involontaires) causent un préjudice à autrui. A l’inverse, le classement sans suite d’une affaire est sans influence sur la solution du litige porté ensuite devant le juge civil.
Il s’agit de la responsabilité encourue par une personne physique ou morale de droit public (collectivités territoriales, établissements publics…) ou par une personne physique ou morale de droit privé qui participe à une mission de service public, en raison de dommages causés à autrui, dont la réparation, demandée devant les tribunaux administratifs, est réalisée par l’allocation de dommages et intérêts.
Le contrat d’assurance de responsabilité civile est l’une des protections majeures des ESSMS. Il devra être construit avec le plus grand soin. Les plafonds de garanties (dommages corporels et/ou matériels) devront être importants et examinés avec le plus grand soin. Une extension d’assurance visant la responsabilité médicale devra être systématiquement accordée pour les établissements médico-sociaux et/ou sanitaires. La couverture des DINC (dommages immatériels non consécutifs ou immatériels purs) devra également figurer au contrat. Enfin, l’ESSMS et son assureur devront veiller à l’entière description des activités, à la notion de personnes assurées (personnes morales, travailleurs sociaux, agents administratifs, bénévoles, majeurs inadaptés et/ou handicapés ou mineurs placés sous surveillance). Ces différentes personnes assurées doivent être considérées comme « tiers entre elles » pour les dommages corporels et/ou matériels.
Le risque routier est omniprésent dans la vie quotidienne des ESSMS. Qu’il s’agisse d’usage de véhicules de service ou de véhicules de fonction, qu’il s’agisse encore de l’utilisation de véhicules personnels pendant le temps professionnel.
Utilisation d’un véhicule par un préposé pour les besoins du service : en principe, les victimes ne sont pas fondées à mettre en cause le chef d’entreprise au titre de sa responsabilité civile en qualité de commettant, régie par l’article 1242, alinéa 5 du code civil. Dans la pratique, de nombreuses décisions retiennent la responsabilité civile du commettant, en vertu de cet article, au profit des victimes d’accident automobile.
Cela tient sans doute à la présence d’un assureur susceptible d’indemniser les tiers demandeurs à l’instance, mais cela n’a pas d’incidence notable : en effet, la jurisprudence considère que l’employeur civilement responsable a toujours la qualité de gardien du véhicule utilisé par un préposé pour les besoins du service et l’assurance automobile joue donc dans ce cas.
Pour ce qui concerne l’assurance des véhicules de service ou de fonction, le plus facile est le recours à l’assurance flotte (contrat unique) dès qu’on atteint ou dépasse quatre véhicules. Chaque véhicule composant la flotte peut disposer de sa garantie spécifique (tous risques ou non), du niveau de franchise (reste à charge) correspondant à la puissance ou au prix du véhicule, enfin de la présence ou non d’une extension assurance du conducteur et/ou assistance dépannage remorquage de ce véhicule. L’assurance flotte est généralement souscrite sans clause de CRM (bonus-malus). Son coût dépend des résultats techniques du contrat et de la politique tarifaire menée par la compagnie ou la mutuelle d’assurance qui porte le risque.
Pour ce qui concerne l’usage de « véhicules personnels » pendant le temps professionnel, l’employeur peut souscrire un contrat d’assurance auto missions collaborateurs. Ce n’est pas une obligation mais le dispositif est très pratique, qui soit se substitue totalement à l’assurance personnelle du salarié (on parle alors d’assurance auto mission de rang 1) soit intervient après l’assurance personnelle du salarié (on parle alors d’assurance auto mission de rang 2).
Pendant plusieurs décennies, la jurisprudence s’est référée à la définition de la faute inexcusable donnée par la Cour de cassation en 1941 (Cass. ch. réunies, 15 juill. 1941, n° 00-26.836, DC 1941, p. 117, note Rouast) de la manière suivante : « Elle s’entend d’une faute d’une gravité exceptionnelle, dérivant d’un acte ou d’une omission volontaire, de la conscience du danger que devait en avoir son auteur, de l’absence de toute cause justificative, et se distinguant par le défaut d’un élément intentionnel de la faute intentionnelle. »
Cette définition est désormais remplacée par celle résultant d’une trentaine d’arrêts rendus par la Cour de cassation le 28 février 2002 à propos de maladies professionnelles liées à l’amiante. Dans 29 cas, les pourvois des chefs d’entreprises ont été rejetés, et les décisions ayant retenu leur faute inexcusable confirmées. Il faut surtout retenir que la Cour de cassation ne se contente pas de valider la décision des juges du fond, elle donne une nouvelle définition de la faute inexcusable qui alourdit considérablement la responsabilité de l’employeur.
Désormais, constitue une faute inexcusable « le manquement par l’employeur à son obligation de sécurité de résultat envers son salarié, notamment en ce qui concerne les maladies professionnelles contractées du fait des produits fabriqués ou utilisés par l’entreprise, dès lors que l’employeur avait, ou aurait dû avoir, conscience du danger, et n’a pas pris les mesures nécessaires pour protéger son salarié ».
Il n’est pas nécessaire que la faute inexcusable ait été la cause déterminante de l’accident du salarié ; il suffit qu’elle en soit une cause nécessaire.
L’établissement de la faute inexcusable suppose la réunion de deux conditions cumulatives : la conscience du danger par l’employeur et l’absence de mesures nécessaires pour préserver le salarié.
→ Conscience du danger par l’employeur mis en cause pour faute inexcusable : le salarié victime, ou ses ayants droit en cas de décès, doit prouver, en premier lieu, que son employeur avait ou aurait dû avoir conscience du danger. Il n’y a pas présomption de connaissance du danger par l’employeur. A défaut, il est débouté de son action en reconnaissance de la faute inexcusable.
→ Absence de mesures de protection prises par l’employeur mis en cause pour faute inexcusable : en second lieu, le salarié doit établir que son employeur n’a pas pris toutes les mesures nécessaires pour le préserver du danger et, à défaut, la faute inexcusable ne peut être retenue.
Il n’y a pas présomption de faute et ce n’est pas à l’employeur de prouver, a priori, qu’il a pris toutes les mesures nécessaires.
Les établissements et services sociaux et médico-sociaux sont particulièrement concernés par la montée en puissance du risque de « faute inexcusable » de par la spécificité de leurs activités, de par la nature des efforts et des tâches demandés au personnel soignant ou aux équipes d’accompagnement, de par la difficulté d’intervention auprès de certains patients âgés et/ou très lourdement handicapés. Les mises en cause se multiplient dans toutes les branches du secteur. Enfin, quasiment tout le secteur est concerné par une forme spéciale et nouvelle de mise en cause : « la faute inexcusable suite à harcèlement et/ou risques psychosociaux ».
L’extension d’assurance de la faute inexcusable se trouve généralement dans les contrats d’assurance de responsabilité civile (responsabilité civile exploitation, responsabilité civile professionnelle, multirisque association…). Son écriture doit être examinée avec soin et le plafond de sa garantie devra être suffisant. Il devra s’établir au moins à 1 000 000 €, sinon 2 ou 3 000 000 €.
L’exercice de la fonction de dirigeant d’association ou d’institution ou d’entreprise suppose nécessairement une présomption de pouvoir : pouvoir de décider, d’agir, d’influencer la vie de son organisation. Ce pouvoir du dirigeant implique une responsabilité vis-à-vis de la structure et des tiers. Pourtant, les dirigeants ont longtemps pensé être à l’abri derrière l’écran de la personne morale. Celle-ci, à leurs yeux, les protégeait de toute mise en cause personnelle pouvant résulter de leurs actes de gestion. Cette certitude n’a jamais été réellement fondée car les textes de loi ont toujours fait peser une responsabilité personnelle sur les dirigeants.
Identification des dirigeants : au sein des ESSMS, on évoque généralement deux grandes catégories de dirigeants. On parle d’abord de « dirigeants de droits » pour qualifier les membres élus de l’institution ou de l’association (président, membres du bureau, membres du conseil d’administration). On parle ensuite de « dirigeants pouvant être qualifiés de fait ». Il s’agit d’agents de direction générale ou de direction qui ont acquis des pouvoirs très importants dans l’organisation, ces pouvoirs dépassant largement le contenu de leur délégation.
Dirigeants d’entreprise à but non lucratif : dans le silence de la loi de 1901 et de la loi n° 87-551 du 23 juillet 1987, les dirigeants d’entreprise privée à but non lucratif répondent de leur faute sur le fondement du droit commun.
Les dispositions du code civil, et à défaut du code de commerce régissant les sociétés, ont ainsi vocation à s’appliquer de manière subsidiaire.
C’est notamment le cas des articles 1840 et 1992 du code civil. A cet égard, l’article 1992 du code civil permet de retenir la responsabilité du dirigeant envers son groupement pour faute de gestion (dépassement des pouvoirs, signature de chèques sans provision…), ou lorsqu’il a simplement excédé ses pouvoirs statutaires.
A défaut, c’est le droit des sociétés qui s’applique. Tel est le cas des mécanismes de la responsabilité applicables dans le domaine spécifique des procédures collectives. Ainsi, il est possible de poursuivre les dirigeants de personnes morales de droit privé à but non lucratif, même si ces dernières n’exercent aucune activité économique (C. com., art. L. 651-1 ; Cass. com., 27 juin 2006, n° 04-16.296, Dr. sociétés 2006, n° 10, comm. 139, note F.-X. Lucas).
Le contrat dit « d’assurance des dirigeants sociaux » devra présenter différentes caractéristiques.
La première consiste à couvrir systématiquement les dirigeants passés, présents ou futurs. L’usage veut qu’il n’y ait plus de liste nominative trop fastidieuse à mettre à jour.
La deuxième sera de couvrir trois types de fautes : la faute de gestion invoquée à l’occasion d’une demande personnelle de comblement de passif, la violation avérée des lois et règlements, enfin la violation statutaire.
La troisième consistera à adjoindre systématiquement une extension des risques liés à l’emploi pour couvrir les dirigeants mis en cause « personnellement » à l’occasion de harcèlement (moral, sexuel, syndical) ou plus généralement de risques psychosociaux. Généralement, le montant de la garantie Dirigeants sociaux sera au moins égal à 50 % du budget de l’ESSMS. Avec un plafond de 10 000 000 € pour les très grosses entités.
Discrimination, harcèlement moral et sexuel, licenciement sans cause réelle et sérieuse ou abusif sont le quotidien des juridictions prud’homales et peuvent être fréquemment une véritable épreuve pour des institutions et associations dont les fonds propres ont fondu ces 20 dernières années.
Les contentieux sont fréquents et les indemnités extralégales octroyées aux plaignants sont importantes surtout pour des salariés cadres ou non cadres avec une ancienneté significative. Ils peuvent compromettre sérieusement l’équilibre financier de l’ESSMS. D’autant que ces indemnités ne sont quasiment jamais reprises par les financeurs/tarificateurs.
De plus, les obligations en matière de sécurité et de prévention deviennent de plus en plus lourdes et difficiles à mettre en œuvre, rendant les ESSMS plus vulnérables face au risque de mise en cause par les salariés, la plupart du temps, par méconnaissance ou manque d’expertise.
Le contrat dit « d’assurance des risques liés à l’emploi » est une démarche très nouvelle qui a pour but de couvrir les dommages et intérêts ou indemnités extralégales, les frais de défense au civil, au pénal, devant les autorités administratives, les frais additionnels liés à l’atteinte à la réputation, au besoin d’enquêteur privé, au remplacement éventuel d’un dirigeant de droit, au soutien psychologique et une aide à la médiation… Elle permet d’externaliser la quasi-totalité de ce risque employeur. Les garanties offertes vont de 250 000 € ou 500 000 € à 3 ou 5 000 000 €. Avantage rare dans ce programme : les frais de défense ne sont pas plafonnés, ce qui permet d’avoir recours à des défenseurs réputés.
Dans un environnement marqué par la transformation numérique de la société et de l’économie, les cyber-risques sont devenus une réalité incontournable, au centre des préoccupations de toutes les entreprises sociales et médico-sociales.
Comme les autres entreprises, les ESSMS sont exposées aux cyber-risques, quels que soient leur taille et leur champ. En effet, elles exploitent des données à caractère confidentiel ou personnel et utilisent des réseaux et supports informatiques pour échanger et conserver des données. Perte d’informations confidentielles, piratage informatique, vol de matériels informatiques, erreurs commises par un salarié sont autant de risques que les ESSMS prennent chaque jour.
Le piratage d’un ou plusieurs DMP (dossier médical partagé) constitue dans cet univers un véritable risque.
La couverture du risque cyber s’organise autour de trois thèmes.
→ Gestion d’un incident : les frais de dépenses garantis sont les conseils juridiques, le recours à un expert informatique, l’atteinte à la réputation, la restauration de données, les frais de notification, les frais de monitoring et de surveillance.
→ Dommages subis par l’ESSMS : enquête et sanction d’une autorité administrative (enquête d’une autorité administrative, sanction pécuniaire prononcée par une autorité administrative), cyber-extorsion (perte d’exploitation, frais supplémentaires d’exploitation).
→ Responsabilité civile dans le cadre d’un cyber-risque : atteinte aux données (atteinte à la sécurité du système informatique, manquement à l’obligation de notification, sous-traitant, média).
A travers ce panorama et toutes ces réflexions, nous avons essayé de produire un état des risques les plus exposés actuellement dans l’ensemble des champs qui constituent les établissements et services sociaux et médico-sociaux. La judiciarisation du secteur mais aussi l’entrée dans la société numérique montrent tout l’intérêt qu’il convient de leur apporter. Si la réponse assurantielle est déterminante, la prévention et la gestion prévisionnelle de ces risques sont essentielles.