Document d’enregistrement universel 2020

2. Facteurs de risques et cadre de maîtrise

4B – Atteinte à la sûreté hydraulique.

Les ouvrages hydroélectriques exploités par le Groupe présentent des risques aux conséquences potentiellement graves pour les populations, les biens et l’environnement, avec un impact financier et réputationnel pour le Groupe.

Criticité compte tenu des actions de maîtrise engagées : Intermédiaire.

Les ouvrages hydrauliques du Groupe présentent des risques spécifiques aux conséquences potentiellement très graves : rupture, débordement lors de crue, manœuvres d’exploitation. La sûreté hydraulique est constituée de l’ensemble des dispositions prises lors de la conception des aménagements et durant leur exploitation pour assurer la protection des personnes et des biens contre les dangers liés à l’eau et dus à la présence ou au fonctionnement des ouvrages. La sûreté hydraulique est la préoccupation majeure et permanente du producteur ; elle relève de l’enjeu « sûreté nucléaire, santé, sécurité » de la RSE du Groupe (voir section 3.3.1). Elle comporte trois activités principales :

  • la prévention du risque majeur que représente la rupture d’un ouvrage hydraulique, par la surveillance et la maintenance des ouvrages sous le contrôle des services de l’État, principalement des Directions Régionales de l’Environnement, de l’Aménagement et du Logement (DREAL). Parmi les barrages les plus importants, 67 d’entre eux font l’objet d’une procédure administrative particulière mise en œuvre par le préfet compétent ;
  • la gestion des ouvrages durant les périodes de crues, pour assurer la sécurité des installations et des populations ;
  • la maîtrise des risques liés à l’exploitation : variations de niveau des plans d’eau ou de débit des cours d’eau à l’aval des ouvrages.

EDF pratique une surveillance et une maintenance régulières de ses barrages, notamment par une auscultation continue. Le relevé et l’analyse en temps réel, sur chaque site, de multiples données (mesures de tassements, de pression, de fuites, conjuguées à l’inspection visuelle du béton et au contrôle des parties mécaniques, etc.) permettent à EDF d’établir régulièrement un diagnostic sur l’état de ses barrages. À Grenoble et à Toulouse, les équipes d’EDF peuvent analyser à distance et si besoin en temps réel, grâce à une série de capteurs, les barrages les plus importants ou les plus difficiles d’accès.

De plus, pour chacun des grands barrages, une étude de danger comprenant un examen exhaustif est réalisée tous les dix ans ou quinze ans (respectivement pour un barrage de classe A et un barrage de classe B). Cet examen nécessite une vidange ou une inspection des parties immergées avec des moyens subaquatiques. Ces opérations sont effectuées sous le contrôle rigoureux des services de l’État (Service de Contrôle et de Sécurité des Ouvrages Hydrauliques au sein de chaque DREAL).

Au niveau organisationnel, l’Inspecteur de la sûreté hydraulique établit chaque année un rapport destiné au Président-Directeur Général d’EDF, auquel il est directement rattaché, ainsi qu’aux acteurs de la sûreté hydraulique (Voir section 1.4.1.3.1.3 « La sûreté hydraulique »). Ce rapport a pour objectif, après un travail d’analyses, d’inspections et d’évaluations menées par l’Inspecteur de la sûreté hydraulique, de donner un avis sur le niveau de sûreté hydraulique des installations du Groupe et de fournir des pistes de réflexion et de progrès pour en garantir l’amélioration et la consolidation. Ce rapport est rendu public sur le site Internet du Groupe.

4C – Atteinte à la sécurité ou à la santé au travail (salariés et prestataires).

Le Groupe est exposé aux risques relatifs à la santé et à la sécurité au travail, pour son personnel comme pour celui de ses prestataires.

Criticité compte tenu des actions de maîtrise engagées : Intermédiaire.

Le patrimoine humain et les compétences qui y sont associées, constituent un enjeu de premier ordre pour le Groupe comme pour ses prestataires. La nature industrielle et la diversité des activités du Groupe renforcent le caractère fondamental du respect des règles et de la prise en compte des différents risques susceptibles de porter atteinte aux personnes intervenant dans les installations industrielles du Groupe pour préserver la sécurité et la santé au travail.

Le risque d’accidents du travail ou de maladies professionnelles ne peut être exclu sur l’ensemble des domaines d’activité du Groupe. Or, la survenance de tels événements pourrait donner lieu à des actions en justice à l’encontre du Groupe et, le cas échéant, au paiement de dommages et intérêts qui pourraient s’avérer significatifs.

Face à ce risque, le Groupe met en œuvre depuis de nombreuses années les moyens nécessaires pour être en conformité avec les dispositions légales et réglementaires relatives à l’hygiène et à la sécurité dans les différents pays dans lesquels il exerce ses activités et considère avoir pris les mesures destinées à assurer la santé et la sécurité de ses salariés et des salariés des sous-traitants.

Chaque entité du Groupe porte des plans d’actions visant à améliorer en permanence la sécurité et la santé au travail. Des actions sont également menées à l’échelle du Groupe dans son ensemble : définition et promotion des règles vitales, journée d’arrêt du 20 octobre 2020 pour mener des réflexions collectives face à la persistance d’accidents mortels (voir section 3.3.1.3 « Santé et sécurité des salariés et des sous-traitants »).

4D – Atteintes au patrimoine, notamment attaques cyber.

Le Groupe est exposé à des risques de défaillances ou d’atteintes à son patrimoine matériel ou immatériel, incluant son système d’information. Ces risques peuvent notamment provenir d’actions malveillantes, y compris cyber.

Criticité compte tenu des actions de maîtrise engagées : Intermédiaire.

Les installations ou actifs exploités par le Groupe, ou ses salariés, pourraient constituer des objectifs pour des agressions externes ou des actes de malveillance de toute nature. Une agression ou un acte de malveillance commis sur ces installations pourrait avoir pour conséquences des dommages aux personnes et/ou aux biens, entraîner la responsabilité du Groupe sur le fondement de mesures jugées insuffisantes et causer des interruptions de l’exploitation. Le Groupe serait par ailleurs contraint à des investissements ou des coûts additionnels si les lois et réglementations relatives à la protection des sites sensibles et infrastructures critiques devenaient plus contraignantes.

Le Groupe exploite des systèmes d’information multiples, interconnectés et complexes (bases de données, serveurs, réseaux, applications, etc.) indispensables à la conduite de son activité commerciale et industrielle, à la préservation de son patrimoine humain, industriel et commercial, à la protection des données personnelles (clients et salariés), et devant s’adapter à un contexte en forte évolution (transition numérique, développement du télétravail, nouveaux modes de travail partagé en entreprise étendue avec les fournisseurs, évolution de la réglementation, etc.).

La fréquence et la sophistication des incidents de piratage des systèmes d’information ou de corruption des données sont au niveau mondial en augmentation. L’impact d’une agression malveillante – ou de toute autre défaillance provoquant une indisponibilité des systèmes d’information – peut être négatif sur l’activité opérationnelle, sur la situation financière, juridique, patrimoniale ou la réputation du Groupe.

Le groupe EDF a défini une politique Sécurité du Patrimoine face à la malveillance et une politique Sécurité des systèmes d’information afin de prévenir ce risque et d’en limiter les impacts en cas d’agression. Ces politiques sont complétées par une instruction relative à la protection des données personnelles. Cependant le Groupe ne peut exclure une attaque de ses systèmes d’information qui aurait des conséquences sur l’activité opérationnelle du Groupe, ses finances, sa position juridique, en particulier vis-à-vis de l’intégrité des données personnelles, ou sa réputation.

Une charte d’utilisation des ressources IT est annexée au règlement intérieur de l’entreprise. Des formations à la sécurité SI adaptées aux différents profils (utilisateurs, chefs de projets, Responsables sécurité SI…) sont proposées aux salariés. Un reporting relatif à la maîtrise du risque cyber-sécurité est assuré auprès du Comité d’audit du Conseil d’administration. Plusieurs dizaines d’audits de sécurité sont réalisés chaque année par des sociétés externes d’audit sécurité SI qualifiées « PASSI » (Prestataires d’audit de la sécurité des SI) par l’ANSSI (Agence Nationale de la Sécurité des SI), tant sur des infrastructures IT que sur des systèmes d’information métiers. En outre, un reporting mensuel des incidents de sécurité SI est réalisé par le SOC Groupe (Security Operational Center) d’EDF.

En 2020, les principales actions déployées en matière de cybersécurité, de protection du patrimoine immatériel, et plus généralement de résilience de l’entreprise face aux risques d’atteinte aux systèmes d’information, sont :

  • la pérennisation de la notification d’objectifs en matière de cybersécurité aux Directeurs des principales entités du Groupe ;