Managing risk

Consider adopting these practices to limit your exposure to risk.

Photo d'avatar de Patrick McKenzie
Patrick McKenzie

Patrick has built four software companies that did business internationally. He now works on Atlas at Stripe.

  1. Introduction
  2. Assurance
    1. Assurance responsabilité civile professionnelle ou assurance erreurs et omissions
    2. Assurance responsabilité civile générale
    3. Réducteurs de risque pour la souscription
  3. Accords de clics et politiques publiques
  4. Politique de confidentialité
  5. Politiques de remboursement et de retour
  6. Conditions d’utilisation du service
  7. Aurai-je un jour besoin de tout cela?
  8. Créez votre entreprise 

De nombreux entrepreneurs pensent que diriger une entreprise est probablement la chose la plus risquée qu’ils aient jamais faite. C’est sans doute vrai, du moins du point de vue des décisions financières. (L’échec commercial est regrettable, mais tout à fait surmontable ; le sport et l’automobile tuent beaucoup plus d’utilisateurs.)

Le risque dans les entreprises est gérable. C’est l’une des principales raisons pour lesquelles les entreprises existent en tant que concept : elles mettent en commun une source de risque (l’entreprise commerciale), puis séparent les avantages économiques liés à la prise de risque, les responsabilités associées au risque et les obligations réelles liées à l’exploitation de l’entreprise.

La constitution en société est l’un des moyens utilisés par les entreprises Internet pour limiter les risques, en plafonnant le montant auquel les propriétaires ou les investisseurs sont exposés; la responsabilité pour les dettes, les dommages ou les préjudices causés à autrui ne devraient généralement pas être transférée de l’entreprise aux propriétaires ou aux investisseurs. Cependant, les entreprises n’aiment pas l’idée de perdre tous leurs actifs en cas de procès, c’est pourquoi il existe d’autres mécanismes. Nous allons en aborder certains.

Assurance

L’assurance est un moyen de transférer le risque de l’assuré à la compagnie d’assurance. La compagnie d’assurance le fait en échange de paiements garantis (« primes ») provenant d’un large groupe d’assurés. En supposant que la compagnie d’assurance fixe correctement le prix de l’assurance ou investit judicieusement les primes avant de verser les indemnités, elle tire profit de ce service tandis que ses clients échangent l’incertitude d’une perte catastrophique contre la certitude d’un paiement d’assurance prévisible.

Les entreprises souscrivent différents types d’assurances. La grande majorité des polices (et des paiements) concerne les assurances liées à l’emploi, qui sont abordées plus en détail ailleurs. Une part beaucoup plus faible concerne les polices qui protègent l’entreprise.

Assurance responsabilité civile professionnelle ou assurance erreurs et omissions

Les entreprises qui produisent des logiciels qui interagissent avec les données des entreprises, qui sont utilisés par celles-ci ou qui fonctionnent sur des systèmes appartenant à des clients sont relativement exposées en cas de dysfonctionnement de leurs logiciels. Une mise à jour logicielle qui perturbe une entreprise de taille moyenne peut lui coûter des dizaines, voire des centaines de milliers de dollars en pertes de revenus; celle-ci pourrait décider d’intenter une action en justice pour obtenir réparation. Un sous-traitant qui perd accidentellement la base de données de production lors d’un test pourrait être tenu responsable de tous les coûts liés à son remplacement, qui pourraient être pratiquement illimités.

Ces risques sont couverts par une assurance responsabilité civile professionnelle, parfois appelée assurance « erreurs et omissions ». Le fonctionnement de cette police est simple : vous payez chaque année une petite somme (généralement environ 1 000 $ au départ, qui augmente progressivement en fonction du nombre d’employés ou du chiffre d’affaires de l’entreprise). Si vous n’êtes pas poursuivi en justice, rien ne se passe. Si vous êtes poursuivi en justice, vous « ouvrez une réclamation » (vous transmettez les détails pertinents) à votre compagnie d’assurance. La responsabilité pour les sinistres couverts par votre assurance passe de vous à votre compagnie d’assurance, dans la mesure décrite dans votre police et sous réserve des limites et des franchises. La compagnie d’assurance se chargera généralement de répondre à la plainte, ce qui l’amènera souvent à proposer un règlement à l’amiable afin d’éviter les frais d’un procès. (Les procès sont coûteux; personne ne souhaite en mener un jusqu’à son terme.)

Très peu d’éditeurs de logiciels font l’objet de poursuites judiciaires. Les compagnies d’assurance indiquent dans leurs rapports réglementaires que le risque pour les petites sociétés de conseil en développement de logiciels est inférieur à 1 % par an. La plupart des entreprises qui traitent principalement avec des consommateurs limitent leur responsabilité par le biais de contrats et en proposant des remboursements si le logiciel ne satisfait pas le client. Il est extrêmement improbable que vous soyez poursuivi en justice simplement parce que quelqu’un n’est pas satisfait de vos services.

Cela dit, si votre logiciel cause un préjudice matériel à un client, ce qui est tout à fait plausible pour les services B2B, un procès est tout à fait envisageable. Cela est particulièrement vrai aux États-Unis, où de nombreuses controverses sont traitées par le système judiciaire, alors qu’elles seraient réglées par des négociations privées dans d’autres pays. (Ce fait surprend parfois les entrepreneurs qui font des affaires à l’international.)

De plus, comme les entreprises sophistiquées savent que le fait de vous laisser interagir avec leurs systèmes les expose à des coûts de réparation élevés, elles exigent souvent, comme condition préalable à toute collaboration, que vous souscriviez une police d’assurance.

Les limites des polices d’assurance responsabilité civile professionnelle commencent généralement à 1 million de dollars. Il est relativement peu coûteux d’acheter une couverture supplémentaire : 1 million de dollars suffit souvent pour les entreprises qui viennent de se lancer. Vous pouvez (et devriez) renouveler votre police chaque année. Le moment du renouvellement est l’occasion idéale pour vous demander si votre couverture est adaptée à vos risques.

Aux États-Unis, les assurances professionnelles sont généralement vendues par des agents d’assurance, qui sont à la fois des représentants commerciaux et des conseillers professionnels. Sans surprise, comme ils sont rémunérés à la commission par les compagnies d’assurance, leur conseil professionnel consiste souvent à vous inciter à souscrire davantage d’assurances auprès d’eux. Votre avocat ou votre comptable peut souvent vous suggérer un niveau d’assurance adapté au degré d’exposition de votre entreprise.

Assurance responsabilité civile générale

Pratiquement toutes les entreprises devraient souscrire une assurance « responsabilité civile générale » si elles ont une présence physique aux États-Unis. (Si ce n’est pas le cas, vous pouvez choisir de ne pas le faire si cela n’est pas la norme dans votre pays.) L’assurance responsabilité civile générale est parfois vendue avec une assurance responsabilité civile professionnelle.

L’assurance responsabilité civile professionnelle couvre les risques propres au type de travail que vous effectuez. La responsabilité civile générale est plus diffuse; elle couvre les risques liés à l’existence physique de votre entreprise. Par exemple, si vous avez un bureau, il est théoriquement possible que quelqu’un glisse à l’intérieur ou devant le bureau, ce qui rendrait votre entreprise responsable de ses frais médicaux (peut-être importants). Cela est relativement rare, mais la responsabilité civile générale couvre suffisamment de sources de stress « relativement rares » pour que de nombreux entrepreneurs puissent avoir l’esprit tranquille.

En plus des accidents survenant dans vos locaux, la responsabilité civile générale peut vous protéger contre les fautes professionnelles de vos employés, le vol de biens dans votre entreprise, les pertes en cas d’incendie, etc. Les risques exacts couverts seront indiqués dans votre police d’assurance, veuillez donc la lire attentivement. En général, vous ne déposerez une demande d’indemnisation au titre de la responsabilité civile générale que lorsqu’un événement extrêmement coûteux se sera produit. Vous ne voulez pas vous entendre dire : « Nous ne couvrons pas cet événement très coûteux. N’avez-vous pas lu la sous-section D à la page 22? Il est clairement indiqué que… »

Contrairement à ce que certains prétendent parfois, les compagnies d’assurance ne sont généralement pas des escrocs. Elles sont soumises à une réglementation stricte aux États-Unis, et la nature de leur activité est très détaillée, plus proche de la programmation que de l’écriture créative.

Vous souscrirez votre assurance responsabilité civile générale auprès d’un agent d’assurance, probablement le même qui vous vend votre assurance responsabilité civile professionnelle. La police peut être combinée avec votre police d’assurance responsabilité civile professionnelle ou vendue séparément. Prévoyez de ne payer que quelques centaines de dollars par an pour cette assurance.

Réducteurs de risque pour la souscription

Dans le cadre de la souscription d’une police d’assurance, le service de « souscription » de l’assureur vous posera des questions afin de déterminer si votre entreprise présente un niveau de risque qui peut être assuré de manière rentable compte tenu des primes que la compagnie d’assurance souhaite vous facturer. Il est dans votre intérêt de savoir comment répondre aux questions d’un souscripteur de manière professionnelle et honnête afin que votre demande soit approuvée.

Il est très utile de connaître les éléments pris en compte par les compagnies d’assurance, car leur métier consiste littéralement à déterminer les choix qui peuvent mal tourner. Vous pouvez modifier certaines opérations de votre entreprise afin d’apporter des réponses plus positives à leurs questions, ce qui augmentera vos chances d’obtenir une couverture pour des primes moins élevées et éliminera également les sources de risque de votre entreprise.

Voici quelques questions qui pourraient vous être posées :

Utilisez-vous des contrats écrits pour vendre vos services? La bonne réponse est, sans surprise, « Oui ». Certains souscripteurs examineront en détail les contrats, notamment :

  • Les contrats contiennent-ils des clauses limitant la portée de votre garantie ou assurance en ce qui concerne le travail?
  • Les contrats prévoient-ils des conditions plus strictes concernant le niveau de soins que vous êtes tenu de fournir, ou vous accordent-ils une plus grande latitude?
  • Les contrats prévoient-ils des points de contrôle à mi-parcours, tels que des étapes importantes nécessitant la signature du client, un calendrier de paiement défini, etc.?
  • Les contrats limitent-ils les dommages-intérêts qui pourraient vous être imposés?
  • Les contrats prévoient-ils un processus officiel de modification des commandes dans le cadre duquel les deux parties doivent accepter par écrit les changements apportés au champ d’application?

Ces questions aident les souscripteurs à voir que votre contrat a été rédigé en prévision d’un litige avec un client.

Avez-vous une expérience significative dans ce secteur ? Il va sans dire qu’une expérience plus longue est préférable à une expérience plus courte. Il est généralement dans votre intérêt de décrire votre expérience de manière tout à fait honnête et facilement compréhensible par quelqu’un qui n’est pas un expert dans votre domaine.

Accords de clics et politiques publiques

Certains types de contrats standard sont relativement non négociables. Vous en avez certainement déjà accepté un, par exemple si vous avez déjà accepté des « conditions d’utilisation » ou signé un contrat avec un opérateur de téléphonie mobile.

Ces contrats sont utilisés lorsque a) la négociation de conditions contractuelles individualisées avec chaque client serait contre-productive et b) lorsque les contrats peuvent néanmoins limiter de manière significative l’exposition de l’entreprise au risque.

Vous avez très probablement des contrats qui s’appliquent de manière générale aux personnes qui font affaire avec vous. Vous disposez également de certaines politiques publiques écrites qui ne sont pas des contrats, mais qui visent plutôt à clarifier certains détails importants concernant les relations commerciales avec vous.

En fonction de l’activité de votre entreprise, vous pouvez envisager de disposer :

  • D’une politique de confidentialité
  • D’une politique de remboursement, de garantie et de retour
  • De conditions d’utilisation du service

Orrick, le cabinet d’avocats mondial spécialisé dans les technologies, est le partenaire juridique de Stripe Atlas. Les experts d’Orrick ont apporté leur expertise à cette section (voir la clause de non-responsabilité à la fin de ce guide), et les utilisateurs d’Atlas peuvent accéder à un guide juridique Atlas plus détaillé rédigé par Orrick.

Politique de confidentialité

Toutes les entreprises Internet collectent des données. De gigantesques montagnes de données.

Les consommateurs veulent être assurés que vous n’allez pas abuser des données personnelles que vous collectez. Plus important encore, les organismes de réglementation gouvernementaux exigent des entreprises qu’elles informent les consommateurs de leurs pratiques en matière de données. Il existe des lois, des réglementations et des directives qui se recoupent et qui sont parfois contradictoires en matière de divulgation des informations confidentielles. Certaines varient selon le secteur d’activité ou l’État (sans parler de toutes les lois étrangères), mais en général, vous devrez disposer d’une politique de confidentialité écrite sur votre site web ou votre application mobile partout où vous exercez vos activités.

Les entreprises qui collectent des données personnelles ou traitent des données utilisateur en ligne ont généralement une politique de confidentialité. Vous pouvez être légalement tenu de publier une politique de confidentialité en vertu de certaines lois étatiques ou lois applicables à des secteurs spécifiques, ou si vous exercez certaines activités, telles que la publicité en ligne. Il existe toute une série de partenaires, tels que les institutions financières et les hébergeurs, qui vous reprocheraient l’absence de politique de confidentialité, même si vous aviez en interne la conviction que « nous faisons simplement ce qui se fait habituellement : pas de spam, Google Analytics, journaux Nginx standard ». De plus, si vous vendez à d’autres entreprises, vos clients professionnels vous demanderont probablement de publier une politique de confidentialité comme condition pour faire affaire avec vous.

Les politiques de confidentialité sont moins des contrats juridiques qu’un moyen semi-standardisé de communiquer vos intentions concernant les données à vos clients. Une politique de confidentialité inexacte peut, à certains égards, être pire que l’absence totale de politique. (Orrick, par exemple, a rédigé un article détaillé sur des termes apparemment inoffensifs qui ont fait l’objet d’un examen minutieux de la part des régulateurs.)

La politique de confidentialité est généralement rédigée dans un langage simple et non technique, et est relativement courte. Les points importants à couvrir dans une politique de confidentialité américaine sont les suivants :

  • Quelles sont les données que vous collectez?
  • Qui y a accès?
  • Dans quelles circonstances allez-vous les communiquer à des tiers?
  • Comment utilisez-vous les données pour la publicité, y compris le suivi en ligne?
  • Combien de temps les conservez-vous?

Des informations supplémentaires peuvent être requises si vous exercez votre activité entièrement ou partiellement en dehors des États-Unis, où des lois plus strictes en matière de confidentialité des données peuvent s’appliquer (par exemple, dans l’Union européenne).

La plupart des entreprises Internet ne répertorient pas toutes les données qu’elles collectent, mais utilisent plutôt des exemples représentatifs, principalement parce que les clients ne sont pas en mesure d’évaluer les détails. (Si vous évoluez dans un domaine où la confidentialité est primordiale, comme celui de la santé, ou si vous collectez des données personnelles d’enfants, où il existe des réglementations spécifiques, les détails ont leur importance et dépassent le cadre de ce guide.)

Si vous n’avez pas encore de politique de confidentialité, réfléchissez aux informations que vous collectez, organisez vos idées en interne, puis adoptez une politique de confidentialité pré-rédigée et personnalisez-la. Assurez-vous qu’elle correspond bien aux activités de votre entreprise, en collaborant avec votre avocat si nécessaire. Automattic, le créateur de WordPress, a généreusement publié sa politique de confidentialité sous une licence permissive, afin que vous puissiez y apporter des modifications mineures et disposer presque immédiatement d’une politique raisonnablement sensée.

Comme toujours pour les documents de type contractuel, si vous avez des questions, consultez un avocat.

Politiques de remboursement et de retour

Lorsque le commerce en ligne a fait son apparition, les gens étaient terrifiés à l’idée d’envoyer de l’argent sur Internet. Et si les produits ne correspondaient pas exactement à leurs attentes? Et si le GIF de 20 ko ne reflétait pas fidèlement la couleur de la robe? Et si? Et si? Et si?

Les politiques de remboursement sont un excellent moyen de répondre de manière préventive aux questions du type « Et si? », ce qui vous permet d’augmenter vos taux de conversion, de réduire le nombre de clients mécontents et de rationaliser vos opérations. Si vous acceptez les paiements en ligne, votre prestataire de services de paiement vous demandera d’afficher votre politique de remboursement de manière visible. Il est généralement avantageux de l’afficher près du point de paiement, car certains clients la consulteront.

En général, la plupart des entreprises Internet choisissent d’être extrêmement généreuses en matière de remboursements. Cela est particulièrement vrai pour les entreprises basées sur la propriété intellectuelle qui ont relativement peu de coûts fixes pour fournir leurs biens et services, comme les éditeurs de logiciels ou les entreprises SaaS.

De nombreux éditeurs de logiciels ont pour politique de remboursement intégral ce qui suit. (N’hésitez pas à l’utiliser ou à l’adapter si vous le souhaitez.)

Politique de remboursement 

Nous voulons que vous soyez ravi de votre achat. Si, pour quelque raison que ce soit, vous n’êtes pas satisfait, nous vous rembourserons intégralement le prix d’achat dans les 30 jours suivant votre achat.

Les politiques de remboursement des entreprises de commerce en ligne sont généralement un peu plus complexes, en particulier en ce qui concerne les retours de biens tangibles, tels que les vêtements ou autres produits de consommation.

Vous devez mentionner la procédure à suivre pour demander un retour, l’adresse à laquelle l’article retourné doit être envoyé, si l’article peut être retourné s’il a été utilisé, les délais, qui prend en charge les frais d’expédition (et de retour), etc.

On pourrait se demander : « Pourquoi même les politiques de remboursement les plus généreuses sont-elles souvent limitées dans le temps? » C’est une question que votre comptable vous posera probablement; une politique de remboursement illimitée complique considérablement la reconnaissance des revenus. De nombreuses entreprises déclarent officiellement qu’elles ne traitent les remboursements que dans les 30 ou 60 premiers jours, alors qu’elles remboursent (de manière non officielle ou semi-officielle) tout achat effectué, même des années après.

Dans certains pays, la loi exige que le délai de remboursement commence à courir à compter de la réception d’un produit ou de la prestation d’un service, et non à compter de la date de la transaction, dans le cas où celle-ci a lieu avant la réception. Il peut également être exigé que le délai de remboursement soit d’une durée minimale (par exemple, 90 jours). En général, il suffit d’adopter la condition la plus généreuse; le fait de restreindre vos conditions de remboursement est rarement un argument de poids dans votre activité.

Conditions d’utilisation du service

La plupart des sites Web exploités à des fins commerciales et toutes les applications Web ont des conditions d’utilisation.

Elles vont de descriptions informelles de ce qui constitue une utilisation acceptable du site (comprenant souvent des termes tels que « pas de pollupostage », « pas de téléchargement de virus » et « pas de menaces de violence ») à, pour les applications, des contrats complets précisant les conditions de paiement, la limitation de responsabilité, etc.

De nombreuses entreprises qui ne facturent pas directement l’utilisation de leur site Web choisissent de publier des conditions d’utilisation plus informelles. Si vous acceptez des inscriptions sur votre site, vous pouvez exiger que les clients acceptent les conditions d’utilisation en cochant une case lors de leur inscription. Enregistrez la date et l’heure de l’acceptation, au cas où on vous le demanderait plus tard.

Si vous vendez des logiciels ou des logiciel-service, vos conditions d’utilisation constituent probablement un contrat à part entière, bien que court. Un avocat peut en rédiger un pour vous, mais cela n’est probablement pas nécessaire, sauf si votre logiciel est commercialisé sur un marché susceptible d’exiger une grande attention en matière de conformité ou de responsabilité. (On pense notamment aux secteurs de la santé, des services financiers, etc. Si vous avez des questions, renseignez-vous auprès de votre avocat.)

Si vous développez des logiciels destinés aux particuliers ou aux petites entreprises, vous pouvez adapter les conditions d’utilisation de WordPress, qui sont soumises à une licence permissive, proposées par Automattic. Cela ne vous prendra que quelques minutes. Obligez vos clients à les accepter en cochant une case lors de leur inscription à votre service et enregistrez l’heure à laquelle le consentement a été donné.

Aurai-je un jour besoin de tout cela?

Il se peut que vos politiques ne soient jamais mises à l’épreuve devant un tribunal.

Les politiques sont largement utilisées par les entreprises et les organismes de réglementation pour vérifier si vous gérez votre entreprise de manière professionnelle.

Vous ne serez probablement pas approuvé par un établissement financier pour accepter des paiements à moins d’avoir des conditions d’utilisation, une politique de remboursement et une politique de retour (si vous expédiez des biens tangibles).

Par exemple, en cas de contestation de paiement de votre logiciel, vous pouvez vous attendre à perdre presque automatiquement si la banque émettrice déclare : « Le client affirme qu’il n’a pas accepté de payer. Avez-vous un contrat? » Et votre seule réponse est : « Eh bien, il a créé un compte. » La bonne réponse est : « Bob Smith a créé un compte le 23 mars. Il a accepté nos conditions d’utilisation, dont je joins une copie. Les conditions d’utilisation stipulent explicitement que les clients sont tenus de payer pour le service. »

Vous perdrez tout de même certains litiges, même si vous avez tout documenté correctement, mais en faisant tout correctement, vous vous donnez une chance.

Les entreprises peuvent tirer profit de la rédaction d’une politique de confidentialité. En effet, cela vous oblige à réfléchir de manière critique à vos pratiques en matière de données, à comprendre le paysage réglementaire (qui peut comporter des règles et réglementations étranges et coûteuses) et à établir des politiques et des procédures qui profiteront à votre entreprise à long terme. La mise en place de bonnes pratiques en matière de confidentialité dès le départ vous aide à maximiser la valeur de vos actifs de données, à éviter les pièges réglementaires et à atténuer les risques (et les conséquences) d’une violation de données.

Une conformité minimale à ces politiques peut généralement être obtenue rapidement et efficacement, notamment au vu des avantages qu’elle procure. Vous devrez revoir et mettre à jour ces politiques (en particulier votre politique de confidentialité) à mesure que votre entreprise évolue et se développe, et vous devrez vous attendre à approfondir la question à l’avenir, lorsque vous disposerez de ressources supplémentaires. Cela dit, selon le lieu où vous exercez vos activités et la nature de celles-ci, ces documents devront peut-être être modifiés plus souvent. Par exemple, si votre entreprise traite des données fournies par des enfants, il existe actuellement un ensemble disparate de lois étatiques qui s’appliquent, et le paysage réglementaire est en constante évolution. Si votre entreprise est un service d’abonnement, plusieurs États ont adopté (et d’autres pourraient adopter) des lois qui vous obligent à inclure certaines clauses de non-responsabilité supplémentaires dans vos conditions d’utilisation concernant les renouvellements automatiques.

_Avertissement : _ ce guide n’a pas pour but et ne constitue pas des conseils juridiques ou fiscaux, des recommandations, de la médiation ou des conseils en aucune circonstance. Ce guide et votre utilisation de celui-ci ne créent pas de relation avocat-client avec Stripe, Orrick ou PwC. Le guide représente uniquement les pensées de l’auteur et n’est ni approuvé par ni ne reflète nécessairement la croyance d’Orrick. Orrick ne garantit pas l’exactitude, l’exhaustivité, la pertinence ou l’actualité des renseignements contenus dans le guide. Vous devriez demander l’avis d’un avocat ou d’un comptable compétent autorisé à exercer dans votre juridiction pour obtenir des conseils sur votre problème particulier.

Envie de vous lancer ?

Créez un compte et commencez à accepter des paiements rapidement, sans avoir à signer de contrat ni à fournir vos coordonnées bancaires. N'hésitez pas à nous contacter pour discuter de solutions personnalisées pour votre entreprise.
Atlas

Atlas

Créez votre entreprise en quelques clics, et commencez à débiter vos clients, recruter votre équipe et lever des fonds.

Documentation Atlas

Grâce à Stripe Atlas, créez une entreprise aux États-Unis, quel que soit le pays dans lequel vous résidez.