Alors que l’année hors norme qu’a été 2020 s’achève, le moment est opportun pour réfléchir aux tendances à suivre en 2021 en gouvernance d’entreprise. Déjà, Martin Lipton y est allé de sa célèbre lettre annuelle intitulée Some Thoughts for Boards of Directors in 2021. D’autres experts en gouvernance se sont penchés sur la Saison des procurations 2021 en cette « période houleuse ». Dans une série de cinq billets que j’amorce aujourd’hui, je vous partagerai ma liste des tendances pour 2021 (sans ordre de priorité…).
Une première tendance à suivre, comme l’actualité de la semaine nous l’a rappelée, concerne le risque de cybersécurité.
La cybersécurité est désormais un incontournable élément de la gouvernance. Comme l’ont montré les cyberattaques qui ont ébranlé les grandes entreprises encore récemment, les cyber-activités malveillantes peuvent infliger de graves préjudices financiers, opérationnels et réputationnels aux entreprises. Avec 20% des entreprises canadiennes touchées par des incidents selon Statistiques Canada, la cybersécurité demeurera une question prioritaire pour les conseils d’administration, les actionnaires, les parties prenantes et les régulateurs en 2021.
Les conseils d’administration sont bien conscients que la cybersécurité fait partie de leurs responsabilités de surveillance dans la gestion des risques. En effet, un certain nombre d’enquêtes auprès des administrateurs indiquent que la cybersécurité est devenue une haute priorité dans les conseils d’administration dans le cadre de la gestion des risques d’entreprise. De plus, les Autorités canadiennes en valeurs mobilières (ACVM) et le Bureau du surintendant des institutions financières (BSIF) ont publié des déclarations et des directives traitant notamment du signalement des cyber-risques et incidents.
Dans ce contexte, il y a un certain nombre de développements qui méritent d’être suivis en 2021. Le premier concerne la divulgation relative à la cybersécurité. Outre le signalement des cyberattaques, il sera intéressant de noter l’évolution de la divulgation concernant les mesures prises par les conseils d’administration pour atténuer le risque de cybersécurité. Compte tenu de l’importance attachée à la cybersécurité et à la stratégie de mitigation des risques par les grands investisseurs institutionnels ( voir ici et ici par exemple), un élément particulier à surveiller est la manière dont les émetteurs abordent ce sujet dans leurs documents de procuration, y compris à travers la discussion sur le rôle et le leadership du conseil dans la surveillance des risques de cybersécurité.
Le deuxième développement à suivre consiste la place faite à la cybersécurité dans les propositions des actionnaires cette année. Aux États-Unis, un certain nombre de propositions liées à la cybersécurité ont été faites et votées lors des réunions annuelles de grandes entreprises au cours des dernières années. Au Canada, des propositions d’actionnaires liées à la technologie ont été déposées en 2019 et 2020. Toutefois, aucune ne traitait spécifiquement du risque de cybersécurité. Pour l’instant, les directives de vote des sociétés de conseil en vote n’abordent pas spécifiquement de la cybersécurité, ce qui suggère qu’elles prendront position sur cette question au cas par cas.
Enfin, il convient d’être attentif à l’évolution de la composition du conseil. Outre la diversité dont je parlerai dans un prochain billet, le risque de cybersécurité est sans doute une considération clé pour les administrateurs alors qu’ils réfléchissent au renouvellement du conseil. Ainsi, il sera intéressant de voir si le rafraîchissement du conseil d’administration se traduira par la nomination d’administrateurs aux connaissances technologiques capables d’accompagner les conseils d’administration face aux problèmes de cybersécurité.
Gouvernance et droit des valeurs mobilières 