Managing risk

Consider adopting these practices to limit your exposure to risk.

Photo d'avatar de Patrick McKenzie
Patrick McKenzie

Patrick has built four software companies that did business internationally. He now works on Atlas at Stripe.

  1. Introduction
  2. Assurance
    1. Assurance responsabilité civile professionnelle ou assurance erreurs et omissions
    2. Assurance responsabilité civile générale
    3. Réducteurs de risques pour l’évaluation des risques
  3. Accords de clic et politiques publiques
  4. Politique de confidentialité
  5. Politiques de remboursement et de retour
  6. Conditions d’utilisation du service ou Conditions d’utilisation
  7. Aurai-je un jour besoin de ces choses ?
  8. Rejoindre Stripe Atlas 

De nombreux entrepreneurs pensent que la gestion d’une entreprise est probablement la chose la plus risquée qu’ils aient jamais faite. C’est probablement vrai, du moins du point de vue des décisions financières. (L’échec d’une entreprise est regrettable, mais il est très possible de survivre ; les sports et les voitures tuent tous deux une fraction beaucoup plus élevée des utilisateurs.)

Le risque dans les entreprises est gérable. C’est l’une des principales raisons pour lesquelles les entreprises existent en tant que concept : elles mettent en commun une source de risque (l’entreprise commerciale), puis séparent les avantages économiques liés à la prise de risque, les responsabilités associées au risque et les obligations réelles liées à l’exploitation de l’entreprise.

La constitution en société est l’un des moyens utilisés par les entreprises Internet pour limiter les risques, en plafonnant le montant auquel les propriétaires ou les investisseurs sont exposés ; la responsabilité pour les dettes, les dommages ou les préjudices causés à autrui ne devrait généralement pas être transférée de l’entreprise aux propriétaires ou aux investisseurs. Cependant, les entreprises n’aiment pas l’idée de perdre tous leurs actifs en cas de procès, c’est pourquoi il existe d’autres mécanismes. Nous allons en aborder certains.

Assurance

L’assurance est un moyen de transférer le risque de l’assuré à la compagnie d’assurance. La compagnie d’assurance le fait en échange de paiements garantis (« primes ») provenant d’un large groupe d’assurés. En supposant que la compagnie d’assurance fixe correctement le prix de l’assurance ou investit judicieusement les primes avant de verser les indemnités, elle tire profit de ce service tandis que ses clients échangent l’incertitude d’une perte catastrophique contre la certitude d’un paiement d’assurance prévisible.

Les entreprises souscrivent différents types d'assurances. La grande majorité des contrats (et des paiements) concerne les assurances liées à l’emploi, qui sont abordées plus en détail ailleurs. Une part beaucoup plus faible concerne les polices protégeant l’entreprise.

Assurance responsabilité civile professionnelle ou assurance erreurs et omissions

Les entreprises qui produisent des logiciels interagissant avec les données de leurs clients, utilisés par ces derniers ou fonctionnant sur leurs systèmes, sont relativement exposées en cas de dysfonctionnement de leurs logiciels. Une mise à jour logicielle qui perturbe une entreprise de taille moyenne peut lui coûter des dizaines, voire des centaines de milliers de dollars de pertes de revenus ; celle-ci pourrait alors décider d'intenter une action en justice pour obtenir réparation. Un sous-traitant qui perdrait accidentellement la base de données de production lors d'un test pourrait être tenu responsable de tous les coûts liés à son remplacement, qui pourraient être pratiquement illimités.

Ces risques sont couverts par une assurance responsabilité civile professionnelle, parfois appelée assurance « erreurs et omissions ». Le fonctionnement de cette police est simple : vous payez chaque année une petite somme (généralement environ 1 000 $ au départ, qui augmente progressivement en fonction du nombre d’employés ou des revenus de l’entreprise). Si aucune poursuite n'est intentée à votre encontre, rien ne se passe. Si une poursuite est engagée, vous devez « déposer une demande d'indemnisation » (transmettre les détails pertinents) auprès de votre compagnie d'assurance. La responsabilité pour les sinistres couverts par votre assurance passe alors de vous à votre compagnie d'assurance, dans la mesure décrite dans votre police et sous réserve des limites et des franchises. La compagnie d'assurance prendra généralement en charge la réponse à la poursuite, ce qui l'amènera souvent à proposer un règlement à l'amiable afin d'éviter les frais d'un procès. (Les procédures judiciaires sont onéreuses ; personne ne souhaite aller jusqu'au bout du processus.)

Très peu des entreprises de logiciels sont poursuivies en justice. Les compagnies d'assurance indiquent dans leurs rapports réglementaires que le risque pour les petites sociétés de conseil en développement de logiciels est inférieur à 1 % par an. La plupart des entreprises qui traitent principalement avec des consommateurs limitent leur responsabilité par des contrats et en proposant des remboursements si le logiciel ne satisfait pas le client. Il est extrêmement improbable que vous soyez poursuivi en justice simplement parce que quelqu'un n'est pas satisfait de vos services.

Cela dit, si votre logiciel cause un préjudice matériel à un client, ce qui est tout à fait envisageable dans le cadre de services B2B, un procès est tout à fait possible. C'est particulièrement vrai aux États-Unis, où de nombreuses controverses sont traitées par le système judiciaire alors qu'elles seraient réglées par des négociations privées dans d'autres pays. (Ce fait surprend parfois les entrepreneurs qui font des affaires à l'international.)

De plus, comme les entreprises sophistiquées savent que vous laisser interagir avec leurs systèmes les expose à des coûts de réparation élevés, elles exigent souvent, comme condition préalable à toute collaboration, que vous souscriviez une police d'assurance.

Les limites des polices d’assurance responsabilité civile professionnelle commencent généralement à 1 million $. Il est relativement peu onéreux d’acheter une couverture supplémentaire : 1 million $ suffit souvent pour les entreprises qui viennent de se lancer. Vous pouvez (et devriez) renouveler votre police chaque année. Le moment du renouvellement est l’occasion idéale de vous demander si votre couverture est adaptée à vos risques.

Aux États-Unis, les assurances professionnelles sont généralement vendues par des agents d’assurance, qui sont à la fois des représentants commerciaux et des conseillers professionnels. Sans surprise, comme ils sont rémunérés à la commission par les compagnies d’assurance, leur conseil professionnel consiste souvent à vous inciter à souscrire davantage d’assurances auprès d’eux. Votre avocat ou votre comptable peut souvent vous suggérer un niveau d’assurance adapté au degré d’exposition de votre entreprise.

Assurance responsabilité civile générale

Pratiquement toutes les entreprises ayant une présence physique aux États-Unis devraient souscrire une assurance « responsabilité civile générale ». (Si ce n’est pas le cas dans votre pays, vous pouvez choisir de ne pas le faire.) L’assurance responsabilité civile générale est parfois vendue avec une assurance responsabilité civile professionnelle.

L’assurance responsabilité civile professionnelle, quant à elle, couvre les risques liés à l’activité de votre entreprise. La responsabilité civile générale est plus diffuse ; elle couvre les risques liés à l’existence physique de votre entreprise. Par exemple, si vous avez des locaux, il est possible qu'une personne glisse à l'intérieur ou devant ceux-ci, ce qui rendrait votre entreprise responsable de ses frais médicaux (peut-être élevés). Ce type d'incident est relativement rare, mais la responsabilité civile générale couvre suffisamment de sources de stress « relativement rares » pour que de nombreux entrepreneurs puissent avoir l'esprit tranquille.

En plus des accidents survenant dans vos locaux, la responsabilité civile générale peut vous protéger contre les fautes professionnelles de vos employés, le vol de biens dans votre entreprise, les pertes en cas d’incendie, etc. Les risques exacts couverts seront indiqués dans votre police d’assurance, veuillez donc la lire attentivement. En général, vous ne déposerez une demande d’indemnisation au titre de la responsabilité civile générale que lorsqu’un événement extrêmement coûteux se sera produit. Vous ne voulez pas vous entendre dire : « Nous ne couvrons pas cet événement très coûteux. N’avez-vous pas lu la sous-section D à la page 22 ? Il est clairement indiqué que… »

Contrairement à ce que certains prétendent parfois, les compagnies d’assurance ne sont généralement pas des escrocs. Elles sont soumises à une réglementation stricte aux États-Unis, et la nature de leur activité est très détaillée, plus proche de la programmation que de l’écriture créative.

Vous souscrirez votre assurance responsabilité civile générale auprès d’un agent d’assurance, qui est probablement le même que celui qui vous vend votre assurance responsabilité civile professionnelle. Cette police peut être combinée à votre assurance responsabilité civile professionnelle ou vendue séparément. Prévoyez de ne payer que quelques centaines de dollars par an pour cette assurance.

Réducteurs de risques pour l’évaluation des risques

Dans le cadre de la souscription d’une police d’assurance, le service d’« évaluation des risques » de l’assureur vous posera des questions afin de déterminer si votre entreprise présente un niveau de risque qui peut être assuré de manière rentable compte tenu des suppléments que la compagnie d’assurance souhaite vous facturer. Il est dans votre intérêt de savoir comment répondre aux questions d’un souscripteur de manière professionnelle et honnête afin que votre demande soit approuvée.

Il est très utile de connaître les éléments pris en compte par les compagnies d’assurance, car leur métier consiste littéralement à déterminer les choix qui peuvent mal tourner. Vous pouvez modifier certaines opérations de votre entreprise afin d’apporter des réponses plus positives à leurs questions, ce qui augmentera vos chances d’obtenir une couverture pour des suppléments moins élevés et éliminera également les sources de risque de votre entreprise.

Voici quelques questions qui pourraient vous être posées :

Utilisez-vous des contrats écrits pour vendre vos services ? La bonne réponse est, sans surprise, « Oui ». Certains assureurs examineront en détail les contrats, notamment :

  • Les contrats contiennent-ils des clauses limitant la portée de votre garantie ou assurance en ce qui concerne le travail ?
  • Les contrats prévoient-ils des conditions plus strictes concernant le niveau de soins que vous devez fournir, ou vous accordent-ils une plus grande latitude ?
  • Les contrats prévoient-ils des points de contrôle à mi-parcours, tels que des étapes importantes nécessitant la signature du client, un calendrier de paiement défini, etc. ?
  • Les contrats limitent-ils les dommages-intérêts qui pourraient vous être imposés ?
  • Les contrats prévoient-ils un processus officiel de modification des commandes dans le cadre duquel les deux parties doivent accepter par écrit les changements apportés au champ d’application ?

Ces questions aident les assureurs à voir que votre contrat a été rédigé en prévision d'un projet litigieux avec un client.

Avez-vous une expérience significative dans ce secteur ? Il va sans dire qu’une expérience plus longue est préférable à une expérience plus courte. Il est généralement dans votre intérêt de décrire votre expérience de manière tout à fait honnête et facilement compréhensible par quelqu’un qui n’est pas un expert dans votre domaine.

Accords de clic et politiques publiques

Certains types de contrats standard sont relativement non négociables. Vous en avez certainement déjà accepté un, par exemple si vous avez déjà accepté des « conditions d’utilisation » ou signé un contrat avec un opérateur de téléphonie mobile.

Ces contrats sont utilisés lorsque a) la négociation de conditions contractuelles individualisées avec chaque client serait contre-productive et b) lorsque les contrats peuvent néanmoins limiter de manière significative l'exposition de l'entreprise au risque.

Vous avez très probablement des contrats qui s’appliquent de manière générale aux personnes avec lesquelles vous faites affaire. Vous disposez également de politiques publiques écrites qui ne sont pas des contrats, mais qui visent à clarifier certains détails importants relatifs aux relations commerciales avec vous.

En fonction de l’activité de votre entreprise, vous pouvez envisager de disposer :

  • d’une politique de confidentialité
  • d’une politique de remboursement, de garantie et de retour
  • des conditions d’utilisation du service ou des conditions d'utilisation

Orrick, le cabinet d’avocats mondial spécialisé dans la technologie, est le partenaire juridique de Stripe Atlas. Les experts d’Orrick ont apporté leur expertise à cette section (voir la clause de non-responsabilité à la fin de ce guide), et les utilisateurs d’Atlas peuvent accéder à un guide juridique Atlas plus détaillé rédigé par Orrick.

Politique de confidentialité

Toutes les entreprises Internet collectent des données. Des montagnes immenses de données.

Les consommateurs tiennent à savoir que vous n'allez pas abuser des informations personnelles que vous collectez. Plus important encore, les organismes de réglementation gouvernementaux exigent des entreprises qu'elles informent les consommateurs de leurs pratiques en matière de données. Il existe des lois, des réglementations et des directives qui se recoupent et qui sont parfois contradictoires en matière de divulgation des informations confidentielles, dont certaines varient selon le secteur d'activité ou l'État (sans parler de toutes les lois étrangères), mais en général, vous devrez disposer d'une politique de confidentialité écrite sur votre site Web ou votre application mobile partout où vous exercez vos activités.

Les entreprises qui collectent des données à caractère personnel ou traitent des données utilisateur en ligne disposent généralement d'une politique de confidentialité. Vous pouvez être légalement tenu de publier une politique de confidentialité en vertu de certaines lois nationales ou lois applicables à des secteurs spécifiques, ou si vous exercez certaines activités, telles que la publicité en ligne. Il existe toute une série de contreparties, telles que les institutions financières et les fournisseurs d'hébergement, qui vous reprocheraient l'absence de politique de confidentialité, même si vous aviez en interne la conviction que « nous faisons simplement ce que tout le monde fait : pas de spam, Google Analytics, logs Nginx standard ». De plus, si vous vendez à d'autres entreprises, vos clients professionnels vous demanderont probablement de publier une politique de confidentialité à titre de condition pour faire affaire avec vous.

Les politiques de confidentialité ne sont pas tant des contrats juridiques qu'un moyen semi-standardisé de communiquer vos intentions concernant les données à vos clients. Une politique de confidentialité inexacte peut, à certains égards, être pire que l'absence totale de politique. (Orrick, par exemple, a rédigé un article détaillé sur des termes apparemment inoffensifs qui ont fait l'objet d'un examen minutieux de la part des régulateurs.)

La politique de confidentialité est généralement rédigée dans un langage simple et non technique, et est relativement courte. Les points importants à couvrir dans une politique de confidentialité américaine sont les suivants :

  • Quelles sont les données que vous collectez ?
  • Qui y a accès ?
  • Dans quelles circonstances allez-vous les communiquer à des tiers ?
  • Comment utilisez-vous les données à des fins publicitaires, y compris le suivi en ligne ?
  • Combien de temps le conservez-vous ?

Des informations supplémentaires peuvent être requises si vous exercez votre activité entièrement ou partiellement en dehors des États-Unis, où des lois plus strictes en matière de confidentialité des données peuvent s’appliquer (par exemple, dans l’Union européenne).

La plupart des entreprises Internet ne répertorient pas toutes les données qu’elles collectent, mais utilisent plutôt des exemples représentatifs, principalement parce que les clients ne sont pas en mesure d’évaluer les détails. (Si vous évoluez dans un domaine où la confidentialité est primordiale, comme celui de la santé, ou si vous collectez des données personnelles d’enfants, où il existe des réglementations spécifiques, les détails ont leur importance et dépassent le cadre de ce guide.)

Si vous n'avez pas encore de politique de confidentialité, réfléchissez aux informations que vous collectez, organisez vos idées en interne, puis adoptez une politique de confidentialité pré-rédigée que vous personnaliserez. Assurez-vous qu'elle correspond bien aux activités de votre entreprise et, si nécessaire, collaborez avec votre avocat. Automattic, le créateur de WordPress, a généreusement publié sa politique de confidentialité sous une licence ouverte, afin que vous puissiez y apporter des modifications mineures et disposer presque immédiatement d’une politique raisonnablement sensée.

Comme toujours, pour les documents de type contractuel, si vous avez des questions, consultez un avocat.

Politiques de remboursement et de retour

Lorsque l’e-commerce a commencé, a émergé, les gens avaient peur d'envoyer de l'argent sur Internet. Et si les marchandises ne correspondaient pas exactement à leurs attentes ? Et si le GIF de 20 Ko n’indiquait pas la couleur de la robe avec précision ? Et si ? Et si ? Et si ?

Les politiques de remboursement sont un excellent moyen de répondre de manière proactive aux questions du type « Et si ? », ce qui vous permet d'augmenter vos taux de conversion, de réduire le nombre de clients insatisfaits et de rationaliser vos opérations. Si vous acceptez les paiements en ligne, votre prestataire de services de paiement vous demandera d'afficher votre politique de remboursement de manière visible. Il est généralement avantageux de l'afficher à proximité du point de paiement, car certains clients la consulteront.

En général, la plupart des entreprises Internet choisissent d’être extrêmement généreuses en matière de remboursements. Cela est particulièrement vrai pour les entreprises basées sur la propriété intellectuelle qui ont relativement peu de coûts fixes pour fournir leurs biens et services, comme les entreprises de logiciels ou les SaaS.

De nombreuses entreprises de logiciels ont pour politique de remboursement intégral ce qui suit. (N'hésitez pas à l'utiliser ou à l'adapter si vous le souhaitez.)

Politique de remboursement 

Nous voulons que vous profitiez pleinement de votre achat. Si vous changez d'avis pour quelque raison que ce soit, nous vous rembourserons intégralement le prix d'achat dans les 30 jours suivant votre achat.

Les politiques de remboursement des entreprises d’e-commerce sont généralement un peu plus compliquées, en particulier en ce qui concerne les retours de biens tangibles, comme les vêtements ou d’autres produits de consommation.

Vous devez mentionner le processus de demande de retour, l’endroit où l’élément retourné doit être envoyé, si l’élément peut être retourné s’il est utilisé, quels sont les calendriers, qui absorbe les frais d’expédition (et de retour), etc.

On pourrait se demander : « Pourquoi même les politiques de remboursement les plus favorables sont-elles souvent limitées dans le temps ? » C’est une question que votre comptable vous posera probablement ; une politique de remboursement illimitée complique considérablement la reconnaissance des revenus. De nombreuses entreprises déclarent officiellement qu’elles ne traitent les remboursements que dans les 30 ou 60 premiers jours, alors qu’elles remboursent (de manière non officielle ou quasi-officielle) tout achat effectué, même des années après.

Dans certains pays, la loi exige que le délai de remboursement commence à courir à compter de la réception d’un produit ou de la prestation d’un service, et non à compter de la date de la transaction, dans le cas où celle-ci a lieu avant la réception. Il peut également être exigé que le délai de remboursement soit d’une durée minimale (par exemple, 90 jours). En général, il suffit d’adopter la condition la plus généreuse ; le fait de restreindre vos conditions de remboursement est rarement un argument de poids dans votre activité.

Conditions d’utilisation du service ou Conditions d'utilisation

La plupart des sites Web exploités à des fins commerciales et toutes les applications Web ont des conditions d'utilisation. (Celles-ci sont parfois appelées « Conditions d'utilisation du service », abrégées ToU ou ToS.)

Elles vont de descriptions informelles de ce qui constitue une utilisation acceptable du site (comprenant souvent des termes tels que « pas de spam », « pas de téléchargement de virus » et « pas de menaces de violence ») à, pour les applications, des contrats complets précisant les conditions de paiement, la limitation de responsabilité, etc.

De nombreuses entreprises qui ne facturent pas directement l’utilisation de leur site Web choisissent de publier des conditions d’utilisation plus informelles. Si vous acceptez des inscriptions sur votre site, vous pouvez exiger que les clients acceptent les conditions d’utilisation en cochant une case lors de leur inscription. Enregistrez la date et l’heure de l’acceptation, au cas où on vous le demanderait plus tard.

Si vous vendez des logiciels ou des software as a service, vos conditions d’utilisation constituent probablement un contrat à part entière, bien que court. Un avocat peut en rédiger un pour vous, mais cela n’est probablement pas nécessaire, sauf si votre logiciel est commercialisé sur un marché susceptible d’exiger une grande attention en matière de conformité ou de responsabilité. (On pense notamment aux secteurs de la santé, des services financiers, etc. Si vous avez des questions, renseignez-vous auprès de votre avocat.)

Si vous développez des logiciels destinés aux particuliers ou aux petites entreprises, vous pouvez adapter les Conditions d'utilisation du service de WordPress, qui sont soumises à une licence permissive, proposées par Automattic. Cela ne vous prendra que quelques minutes. Obligez vos clients à les accepter en cochant une case lors de leur inscription à votre service et enregistrez l’heure à laquelle le consentement a été donné.

Aurai-je un jour besoin de ces choses ?

Il se peut que vos politiques ne soient jamais mises à l'épreuve devant un tribunal.

Les politiques sont largement utilisées par les entreprises et les organismes de réglementation pour vérifier si vous exploitez votre entreprise de manière professionnelle.

Il est probable qu’une institution financière n’autorisera pas à accepter des paiements, à moins que vous n’ayez de conditions d’utilisation, une politique de remboursement et une politique de retour (si vous expédiez des biens matériels).

Par exemple, en cas de rétrofacturation pour l'achat de votre logiciel, vous pouvez vous attendre à perdre presque automatiquement si la banque émettrice déclare : « Le client affirme qu'il n'a pas accepté de payer. Avez-vous un contrat ? » Et votre seule réponse est : « Eh bien, il a créé un compte ». La bonne réponse est la suivante : « Pierre Dupont a créé un compte le 23 mars. Il a accepté nos conditions d'utilisation du service, dont je joins une copie. Les conditions d'utilisation stipulent explicitement que les clients sont tenus de payer pour le service ».

Vous perdrez toujours quelques rétrofacturations, même si vous avez tout documenté correctement, mais si vous faites tout correctement, vous aurez plus de chances de les éviter.

Les entreprises peuvent tirer profit de la rédaction d'une politique de confidentialité, car cela vous oblige à réfléchir de manière critique à vos pratiques en matière de données, à comprendre le paysage réglementaire (qui peut impliquer des règles et réglementations étranges et coûteuses) et à établir des politiques et des procédures qui profiteront à votre entreprise à long terme. La mise en place de bonnes pratiques en matière de confidentialité dès le départ vous aide à maximiser la valeur de vos actifs de données, à éviter les pièges réglementaires et à atténuer les risques (et les conséquences) d'une violation de données.

Il est généralement possible de se conformer au minimum à ces politiques de manière rapide et efficace, notamment au vu des avantages qu'elles présentent. Vous devrez revoir et mettre à jour ces politiques (en particulier votre politique de confidentialité) à mesure que votre entreprise évolue et se développe, et vous devrez vous attendre à approfondir la question à l'avenir, lorsque vous disposerez de davantage de ressources. Cela dit, selon le lieu où vous exercez votre activité et la nature de celle-ci, ces documents peuvent devoir être modifiés plus souvent. Par exemple, si votre entreprise traite des données fournies par des enfants, il existe actuellement un ensemble disparate de lois étatiques qui s'appliquent, et le paysage réglementaire est en constante évolution. Si votre entreprise est un service d'abonnement, plusieurs États ont adopté (et d'autres pourraient adopter) des lois qui vous obligent à inclure certaines clauses de non-responsabilité supplémentaires dans vos conditions d'utilisation concernant les renouvellements automatiques.

Avis de non-responsabilité : les informations contenues dans ce guide ne constituent en aucun cas des conseils, recommandations, avis ou médiations d'ordre juridique ou fiscal. Ce guide et l'usage que vous en faites n'ont pas pour objet de créer une relation du type avocat-client entre vous et Stripe, Orrick ou PwC. Ce guide reflète uniquement les opinions de l'auteur, qui ne sont pas nécessairement approuvées ou partagées par Orrick. Orrick ne garantit pas l'exactitude, l'exhaustivité et la pertinence des informations contenues dans ce guide. Stripe vous recommande de consulter un avocat compétent ou un comptable agréé dans votre pays pour obtenir des conseils concernant votre problème spécifique.

Envie de vous lancer ?

Créez un compte et commencez à accepter des paiements rapidement, sans avoir à signer de contrat ni à fournir vos coordonnées bancaires. N'hésitez pas à nous contacter pour discuter de solutions personnalisées pour votre entreprise.
Atlas

Atlas

Créez votre entreprise en quelques clics, et commencez à débiter vos clients, recruter votre équipe et lever des fonds.

Documentation Atlas

Grâce à Stripe Atlas, créez une entreprise aux États-Unis, quel que soit le pays dans lequel vous résidez.